Detecção de Ransomware RansomHub: Atacantes Exploram TDSSKiller da Kaspersky para Desativar Sistemas EDR
Índice:
Logo após o comunicado conjunto do FBI, CISA e parceiros alertando sobre uma mudança significativa na atividade do grupo RaaS RansomHub, pesquisadores de segurança detectaram o truque inovador de adversários que utilizam de maneira indevida o software legítimo TDSSKiller da Kaspersky para desativar sistemas de Detecção e Resposta de Endpoint (EDR). Uma vez que conseguem contornar as defesas, os invasores recorrem à ferramenta LaZagne, extraindo credenciais de login de bancos de dados de aplicativos para se mover lateralmente nas redes de interesse.
Detectar Ataques de Ransomware RansomHub Usando o TDSSKiller
Com o surto de ransomware permanecendo tão intenso quanto nunca em 2024 e as exigências de resgate aumentando cinco vezes no último ano, os ataques de ransomware estão se mostrando uma ameaça crescente para organizações globais. Com cada novo dia trazendo um método inovador no livro de jogadas dos atacantes, os adversários estão procurando uma maneira eficaz de detectar potenciais intrusões a tempo. Os defensores cibernéticos podem confiar na Plataforma SOC Prime para defesa cibernética coletiva oferecendo um conjunto completo de produtos para detecção avançada de ameaças, engenharia de detecção com suporte de IA e caça de ameaças automatizada. Os usuários da plataforma podem acessar as últimas informações sobre ameaças e regras de detecção curadas para ameaças emergentes liberadas sob um SLA de 24 horas.
Para identificar possíveis ataques do RansomHub usando o TDSSKiller, confira a regra Sigma abaixo, que ajuda a identificar o uso indevido potencial da utilidade para desativar ferramentas de segurança locais. Para buscar mais detecções relacionadas, use a tag “TDSSKiller” no Threat Detection Marketplace.
Possível Tentativa de Execução da Ferramenta TDSSKiller (via linha de comando)
A detecção é compatível com 27 soluções de SIEM, EDR e Data Lake e está mapeada para MITRE ATT&CK abordando a tática de Evasão de Defesa, com Desativação ou Modificação de Ferramentas (T1562.001) como a sub-técnica correspondente.
Profissionais de segurança que buscam mais conteúdo de detecção direcionado às TTPs do RansomHub podem clicar no botão Explorar Detecções abaixo para acessar imediatamente uma lista dedicada de regras Sigma.
As regras são compatíveis com mais de 30 tecnologias de SIEM, EDR e Data Lake e enriquecidas com metadados acionáveis e CTI personalizado.
Análise do Ransomware RansomHub
Em 29 de agosto de 2024, o FBI e o CISA, em conjunto com outras agências autoras, divulgaram o alerta AA24-242A focado nos ataques crescentes contra os órgãos estatais e organizações de infraestrutura crítica, incluindo água e esgoto, TI, saúde, serviços financeiros e comunicações. O grupo RansomHub por trás desses ataques já atingiu mais de 210 organizações desde seu surgimento em fevereiro de 2024. O relatório mais recente da Malwarebytes revela que o mesmo grupo agora está abusando do software TDSSKiller da Kaspersky para desativar sistemas EDR.
A ferramenta legítima TDSSKiller é usada para identificar a presença de rootkits ou bootkits no sistema. No entanto, operadores do RansomHub estão ativamente abusando do software para interagir com serviços de nível de kernel usando um script de linha de comando ou arquivo batch que tenta desativar os serviços de segurança. Enquanto o TDSKiller é uma utilidade legítima, os adversários podem passar despercebidos sem qualquer risco de serem interrompidos por soluções de segurança.
Na próxima etapa, os invasores empregam o LaZagne para extrair credenciais de login armazenadas em bancos de dados de aplicativos, navegadores e clientes de email para aumentar sua capacidade de movimentação lateral dentro da rede infectada.
Para evitar que invasores desativem soluções EDR usando ferramentas como o TDSSKiller, especialistas em segurança recomendam habilitar a proteção contra adulteração dentro do sistema EDR e monitorar o parâmetro ‘-dcsvc’, que destaca a desativação ou exclusão de serviços. Além disso, para minimizar os riscos de ataques do RansomHub, as agências aconselham seguir as diretrizes no Guia #StopRansomware, aprimorar a higiene cibernética e testar e validar regularmente os controles de segurança. Utilizando o conjunto completo de produtos da SOC Prime para engenharia de detecção com IA, caça de ameaças automatizada e detecção avançada de ameaças, as organizações podem fortalecer suas defesas de cibersegurança contra ameaças de ransomware atuais e emergentes.
