El grupo de ransomware conocido como RansomHub ha estado utilizando la herramienta legítima de Kaspersky, TDSSKiller, para deshabilitar los servicios de detección y respuesta de endpoints (EDR) en sistemas comprometidos.

Después de desactivar las defensas, el ransomware emplea la herramienta de recolección de credenciales LaZagne para extraer inicios de sesión almacenados en diversas bases de datos de aplicaciones, lo que les permite moverse lateralmente dentro de la red.

Kaspersky desarrolló TDSSKiller para detectar y eliminar rootkits y bootkits, tipos de malware que pueden evadir las soluciones de seguridad. Las herramientas EDR, que operan a nivel de kernel, monitorean actividades críticas como el acceso a archivos y la creación de procesos para ofrecer protección en tiempo real.

Sin embargo, RansomHub aprovecha TDSSKiller para interactuar con los servicios de kernel y desactivar soluciones como Malwarebytes, utilizando un archivo ejecutable generado dinámicamente desde un directorio temporal.

Detectar LaZagne es relativamente sencillo, ya que muchas herramientas de seguridad lo marcan como malicioso. Sin embargo, su actividad puede pasar desapercibida si antes se ha utilizado TDSSKiller para desactivar las defensas del sistema.

Fuente:

New RansomHub attack uses TDSKiller and LaZagne, disables EDR