RansomHub ransomware utilise TDSSKiller pour désactiver les logiciels EDR » height= »900″ src= »https://tecknews.com/wp-content/uploads/2024/09/localimages/ransomware-2.jpg » width= »1600″>
Le groupe de ransomware RansomHub a recours à TDSSKiller, un outil légitime développé par Kaspersky, pour neutraliser les services de détection et de réponse des points de terminaison (EDR) sur les systèmes ciblés.
Une fois les défenses contournées, RansomHub a déployé l’outil de collecte de données d’identification LaZagne afin d’extraire les identifiants de diverses bases de données d’applications, facilitant ainsi la propagation latérale sur le réseau.
Utilisation abusive de TDSSKiller dans les attaques par ransomware
Kaspersky a conçu TDSSKiller pour analyser les systèmes à la recherche de rootkits et de bootkits, deux types de malwares particulièrement difficiles à détecter et capables d’échapper aux outils de sécurité classiques.
Les agents EDR représentent des solutions plus avancées qui fonctionnent, au moins en partie, au niveau du noyau, car ils doivent surveiller et contrôler les activités système de bas niveau telles que l’accès aux fichiers, la création de processus et les connexions réseau, offrant ainsi une protection en temps réel contre des menaces comme les ransomwares.
La société de cybersécurité Malwarebytes a récemment rapporté avoir observé RansomHub utilisant TDSSKiller pour interagir avec des services au niveau du noyau via un script en ligne de commande ou un fichier batch, désactivant ainsi le service Anti-Malware de Malwarebytes (MBAMService) en cours d’exécution sur la machine.
Source : Malwarebytes
Ce logiciel légitime a été utilisé après une phase de reconnaissance et d’escalade de privilèges, exécuté depuis un répertoire temporaire (‘C:Users
Étant un outil légitime signé avec un certificat valide, TDSSKiller ne risque pas d’être détecté ou bloqué par les solutions de sécurité lors de l’attaque de RansomHub.
Par la suite, RansomHub a utilisé l’outil LaZagne pour tenter d’extraire les identifiants stockés dans les bases de données. Dans l’attaque examinée par Malwarebytes, l’outil a généré 60 écritures de fichiers, probablement des journaux des identifiants volés.
La suppression d’un fichier pourrait indiquer que l’attaquant essaie de dissimuler son activité sur le système.
Stratégies de défense contre TDSSKiller
La détection de LaZagne est relativement simple, car la plupart des outils de sécurité le signalent comme malveillant. Cependant, son activité peut devenir invisible si TDSSKiller est utilisé pour désactiver les défenses.
TDSSKiller se situe dans une zone grise, car certains outils de sécurité, y compris ThreatDown de Malwarebytes, le classifient comme ‘RiskWare’, ce qui pourrait également alerter les utilisateurs.
La société de sécurité recommande d’activer la fonction de protection contre les manipulations sur la solution EDR, afin de s’assurer que les attaquants ne peuvent pas les désactiver avec des outils comme TDSSKiller.
De plus, surveiller le paramètre ‘-dcsvc’, qui désactive ou supprime des services, ainsi que l’exécution de TDSSKiller lui-même, peut aider à détecter et à bloquer l’activité malveillante.
