Es aterrador pensar que una herramienta diseñada para protegernos pueda ser utilizada en nuestra contra. Eso es exactamente lo que está sucediendo con el ransomware RansomHub, una amenaza que ha llevado las tácticas de ciberataque a un nuevo nivel. La banda de ransomware ha estado aprovechando TDSSKiller, una herramienta legítima de Kaspersky, para desactivar los sistemas de seguridad EDR en los equipos que atacan.
Después de desactivar las defensas, RansomHub utiliza LaZagne, una herramienta para robar credenciales, con la que extraen contraseñas de diferentes aplicaciones. Esto les facilita moverse por la red y comprometer más sistemas.
Kaspersky desarrolló TDSSKiller como una herramienta diseñada para buscar y eliminar rootkits y bootkits, dos tipos de malware difíciles de detectar que pueden pasar desapercibidos para las herramientas de seguridad convencionales.
Por otro lado, los agentes EDR (detección y respuesta de endpoints) son soluciones más avanzadas que operan, al menos en parte, a nivel de kernel del sistema. Esto significa que supervisan y controlan actividades cruciales como el acceso a archivos, la creación de procesos y las conexiones de red. Gracias a esto, ofrecen una protección en tiempo real contra amenazas como el ransomware.
Recientemente, se ha observado que el ransomware RansomHub ha estado aprovechando TDSSKiller para interactuar con servicios a nivel de kernel. Utilizan un script de línea de comandos o un archivo por lotes para desactivar los servicios anti-malware que se ejecutan en los sistemas afectados, facilitando su ataque.
La herramienta legítima fue utilizada por los atacantes después de haber realizado el reconocimiento y escalado de privilegios. La ejecutaron desde un directorio temporal (C:\Users\<User>\AppData\Local\Temp\) usando un archivo con un nombre generado dinámicamente, como {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe.
Al estar firmada con un certificado válido, TDSSKiller no levanta sospechas ni es bloqueada por las soluciones de seguridad, lo que permite a RansomHub operar sin ser detectado. Después de desactivar las defensas, RansomHub empleó LaZagne, una herramienta diseñada para extraer credenciales almacenadas en bases de datos. En este ataque, se generaron alrededor de 60 archivos, probablemente registros de las credenciales robadas.
Además, la eliminación de archivos observada podría indicar que los atacantes intentaban ocultar su rastro y evitar ser descubiertos en el sistema. No es la primera vez que este grupo de ransomware recurre a herramientas para desactivar soluciones de seguridad. Anteriormente, ya habían utilizado una llamada EDRKillShifter con el mismo objetivo: deshabilitar el software EDR y facilitar sus ataques sin ser detectados.
Conoce más sobre: RansomHub: ¿Cómo Están Eliminando EDR para Potenciar sus Ciberataques?
Detectar LaZagne no es complicado, ya que la mayoría de las herramientas de seguridad lo identifican como software malicioso. Sin embargo, si TDSSKiller desactiva las defensas del sistema, esta actividad podría pasar desapercibida.
Te podrá interesar leer: ¿Qué tipos de incidentes de seguridad puede detectar un SOC?
El ransomware sigue siendo una de las mayores amenazas en el panorama de la ciberseguridad, y variantes como RansomHub muestran cómo los atacantes están evolucionando continuamente para evadir los sistemas de protección. El uso de herramientas legítimas como Kaspersky TDSSKiller para desactivar software de seguridad es un recordatorio de que ninguna solución es infalible por sí sola.
Además, para defenderse mejor, se recomienda activar la función de protección contra manipulaciones en las soluciones EDR. De esta manera, se dificulta que los atacantes desactiven el software de seguridad con herramientas como TDSSKiller.