Atacatorii sunt mereu în căutarea unor metode noi pentru a depăși barierele de protecție ale organizațiilor. Recent, echipa de Răspuns la Incidente și Detectare a Amenințărilor (MDR) de la ThreatDown a identificat o nouă metodă de atac utilizată de grupul de ransomware RansomHub, care marchează o schimbare în arsenalul lor de unelte.
Atacul a implicat utilizarea a două instrumente: TDSSKiller, folosit pentru a dezactiva sistemele de detectare și răspuns la incidente (EDR), și LaZagne, utilizat pentru a fura acreditările. Deși ambele instrumente au fost folosite de atacatori de-a lungul anilor, aceasta este prima înregistrare a utilizării lor de către RansomHub în operațiunile sale, cu TTP-urile (Tacticile, Tehnicile și Procedurile) neincluse în avizul recent publicat de CISA referitor la RansomHub.
TDSSKiller a fost folosit pentru a ținti și dezactiva serviciile esențiale de securitate, cum ar fi Serviciul Anti-Malware Malwarebytes (MBAMService), după ce atacatorii au completat recunoașterea și enumerarea privilegiilor. Detaliile liniei de comandă și calea fișierului indică o execuție meticuloasă și o înțelegere profundă a infrastructurii țintă.
După ce apărările de securitate au fost compromise, LaZagne a fost desfășurat pentru a extrage acreditările stocate din sistemul compromis. Acest instrument permite atacatorilor să recupereze informații de autentificare din diverse aplicații, inclusiv browsere, clienți de e-mail și baze de date, sporind capacitatea lor de a se deplasa lateral în rețea.
Această nouă metodă de atac subliniază importanța unei monitorizări continue și a unei răspunsuri rapide la amenințările ransomware. Pentru organizațiile fără o echipă internă pentru a investiga și răspunde la activități suspecte non-stop, serviciile MDR oferite de ThreatDown asigură monitorizare expertă și un răspuns rapid la amenințările ransomware 24/7/365.
În concluzie, acest incident evidențiază nevoia critică pentru organizații de a rămâne vigilente și de a-și actualiza constant strategiile de securitate pentru a face față evoluției rapide a tacticii atacatorilor. Prin înțelegerea și adaptarea la noile metode de atac, organizațiile pot întări apărarea împotriva amenințărilor cibernetice sofisticate și pot proteja resursele valoroase de date.
Sursa: ThreatDown
