گروه بدنام باج‌افزار RansomHub در حال سوء استفاده از ابزار قانونی کسپرسکی برای غیرفعال کردن ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) و سپس استقرار بدافزار مرحله دوم در سیستم‌های آلوده بدون اینکه دیده شوند، مشاهده شده است.

محققان امنیت سایبری Malwarebytes، که اخیراً این فعالیت را در طبیعت مشاهده کرده‌اند، بيان کرد ند که وقتی RansomHub یک نقطه پایانی را به خطر انداخت و راهی به داخل پیدا کرد، ابتدا باید هر ابزار EDR را قبل از استقرار infostealers یا رمزگذارها غیرفعال کند. در این سناریو، ابزار مورد استفاده آنها TDSSKiller نامیده می شود - ابزار تخصصی Kspersky که برای شناسایی و حذف روت کیت ها، به ویژه آنهایی از خانواده TDSS (همچنین به عنوان TDL4 شناخته می شود) طراحی شده است.

روت کیت ها برنامه های مخربی هستند که حضور خود را در سیستم های آلوده پنهان می کنند و تشخیص آنها را برای نرم افزار آنتی ویروس استاندارد دشوار می کند. TDSSKiller می تواند این تهدیدات عمیقاً تعبیه شده را شناسایی و حذف کند و به بازیابی امنیت و عملکرد سیستم کمک کند. این ابزار سبک وزن، آسان برای استفاده است و می تواند در کنار سایر راه حل های آنتی ویروس برای محافظت بیشتر اجرا شود.

استقرار LaZagne

هنگامی که EDR از راه رسید، گروه LaZagne را مستقر می کند، یک infostealer که قادر به گرفتن اعتبار ورود به سیستم برای سرویس های مختلف در شبکه است. این بدافزار تمام اعتبارنامه های سرقت شده را در یک فایل استخراج می کند که پس از آپلود، گروه آن را حذف می کند تا ردیابی های خود را پوشش دهد. با دسترسی به دست آمده، آنها می توانند رمزگذار را بدون ترس از پرچم گذاری توسط برنامه های آنتی ویروس مستقر کنند.

RansomHub یک بازیکن نسبتاً جوان باج افزار است که از ALPHV/BlackCat منقرض شده است. این گروه وابسته به ALPHV بود و مسئول حمله در Change Healthcare بود که منجر به پرداخت 22 میلیون دلار باج توسط این سازمان شد. اپراتورهای ALPHV تمام پول را برداشتند و زیرساخت آن را تعطیل کردند و RansomHub را بدون سهم خود از غنایم باقی گذاشتند. از آن زمان، این گروه فعال بوده و ده ها سازمان را در سراسر جهان به خطر انداخته است.

از طریق Bleeping Computer

بیشتر از TechRadar Pro