Известная группа вымогателей RansomHub недавно была замечена в использовании легитимного инструмента от Kaspersky для обхода систем обнаружения и реагирования на конечных точках (EDR). Эта стратегическая маневра позволяет им внедрять вторичное вредоносное ПО на скомпрометированные системы без обнаружения.
Эксплуатация TDSSKiller от Kaspersky
Эксперты по кибербезопасности из Malwarebytes выявили эту тревожную тенденцию в дикой природе. Как только RansomHub проникает на конечную точку, их первым шагом становится нейтрализация любых существующих решений EDR. Этот шаг является критически важным, прежде чем они смогут выпустить инфостилеры или шифрующее вредоносное ПО на пораженные системы.
В данном случае группа обратилась к TDSSKiller, специализированному инструменту, разработанному Kaspersky. Изначально предназначенный для обнаружения и устранения руткитов, особенно тех, которые принадлежат к семейству TDSS (также известному как TDL4), TDSSKiller был переосмыслен RansomHub для продвижения их злонамеренных целей.
Этот факт вызывает серьезные опасения в сообществе кибербезопасности, так как он подчеркивает, до каких пределов готовы идти киберпреступники, чтобы использовать легитимное программное обеспечение в своих зловредных целях. Последствия для бизнеса и их протоколов кибербезопасности значительны, требуя переоценки существующих защитных мер против таких сложных атак.