RansomHubランサムウェア検出：攻撃者はEDRシステムを無効化するためにカスペルスキーのTDSSKillerを悪用

FBI、CISA、およびパートナーによる共同勧告直後に、 RansomHub RaaSグループのアクティビティの重大な変化を警告したところ、セキュリティ研究者は、カスペルスキーの正規のTDSSKillerソフトウェアを悪用してエンドポイント検出および応答（EDR）システムを無効にするという新たなトリックを敵対者が見つけました。防御を突破すると、攻撃者はLaZagneツールを使用して、アプリケーションデータベースからログイン情報を引き出し、関心のあるネットワーク内で横移動します。

TDSSKillerを活用したRansomHubランサムウェア攻撃を検出

ランサムウェアの流行は2024年も依然として蔓延しており、 ランサム要求は前年比で5倍増加, ランサムウェア 攻撃は、世界的な組織にとってますますエスカレートした脅威となっています。攻撃者の手法に新たな一手が追加される中、敵対者は潜在的な侵入をタイムリーに検出する効果的な方法を探しています。サイバーディフェンダーは、 SOC Primeプラットフォーム を信頼し、先進の脅威検出、AIを活用した検出エンジニアリング、および自動化された脅威ハンティングを提供する完全な製品スイートとして集団サイバー防御をサポートします。プラットフォームの利用者は、24時間SLAでリリースされる最新の脅威情報とキュレーションされた検出ルールにアクセスすることができます。

TDSSKillerを活用した可能性のあるRansomHub攻撃を見つけるには、以下のSigmaルールを確認してください。これはユーティリティの誤用を特定してローカルのセキュリティツールを無効にするのを防ぐのに役立ちます。関連する検出をさらに検索するには、「TDSSKiller」タグをThreat Detection Marketplaceで使用してください。

TDSSKillerユーティリティ実行試行の可能性 (cmdline経由)

この検出は、27のSIEM、EDR、およびData Lakeソリューションと互換性があり、 MITRE ATT&CK に対応し、防御回避戦術をアドレスし、ツールの無効化または変更（T1562.001）をサブ技術として対応しています。

RansomHubのTTPに対応したより多くの検出コンテンツを探しているセキュリティ実務者は、 Explore Detections ボタンをクリックして、専用のSigmaルールリストに即座に移動してください。

Explore Detections

ルールは30以上のSIEM、EDR、およびData Lakeテクノロジーと互換性があり、実行可能なメタデータとカスタマイズされたCTIで強化されています。

RansomHubランサムウェア分析

2024年8月29日、FBIとCISAは他の作成機関と協力して、 AA24-242Aアラート を発表し、水と廃水、IT、ヘルスケア、金融サービス、通信を含む州機関および重要インフラ組織に対する攻撃の増加に焦点を当てました。これらの攻撃を背後で行っているRansomHubグループは、2024年2月以来すでに210以上の組織を攻撃してます。最新の 報告 によれば、Malwarebytesは同グループが現在カスペルスキーのTDSSKillerソフトウェアを悪用してEDRシステムを無効化していることを明らかにしています。

正規のTDSSKillerツールは、システム上のルートキットまたはブートキットの存在を特定するために使用されています。しかし、RansomHubのオペレーターは、このソフトウェアを誤用して、コマンドラインスクリプトやバッチファイルを使用してセキュリティサービスを無効にしようと試みています。TDSKillerは正規のユーティリティであるため、攻撃者はどのセキュリティソリューションにも止められることなく、レーダーの下を飛ぶことができます。

次の段階では、攻撃者がLaZagneを使用して、アプリケーションデータベース、ブラウザ、メールクライアントに保存されたログイン情報を抽出し、感染したネットワーク内で横移動する能力を高めています。

攻撃者がTDSSKillerなどのツールを使用してEDRソリューションを無効化するのを防ぐために、セキュリティ専門家はEDRシステム内でのタムパープロテクションの有効化と、「-dcsvc」パラメーターの監視を推奨しています。このパラメーターは、サービスの無効化または削除を強調します。また、RansomHub攻撃のリスクを最小限に抑えるために、機関は #StopRansomwareガイドに従い、サイバーハイジーンを強化し、定期的なセキュリティコントロールのテストと検証を推奨しています。SOC Primeの完全な製品スイートを利用することにより、 AIを活用した検出エンジニアリング、自動化された脅威ハンティング、先進の脅威検出により、 組織は現在および新たなランサムウェアの脅威に対するサイバーセキュリティ防御を強化することができます。