Cyberattacco senza precedenti: RansomHub usa Kaspersky per bypassare le difese e rubare dati

Notizie
Di
Pubblicato

RansomHub utilizza uno strumento legittimo per disabilitare gli EDR e distribuire il malware

Ransomware
Image credit: Shutterstock (Immagine:: Shutterstock)

Il famigerato gruppo di ransomware RansomHub, è stato individuato mentre abusava di uno strumento legittimo di Kaspersky per disabilitare gli strumenti di rilevamento e risposta degli endpoint (EDR) e quindi distribuire un malware di fase due sui sistemi infetti senza destare sospetti. 

I ricercatori di Cybersecurity Malwarebytes, che hanno recentemente individuato l'attività in natura, hanno notato che una volta che RansomHub compromette un endpoint e trova un modo per entrare, deve innanzitutto disabilitare qualsiasi strumento EDR prima di distribuire gli infostealer. In questo scenario, lo strumento utilizzato si chiama TDSSKiller, uno strumento specializzato di Kaspersky progettato per rilevare e rimuovere i rootkit, in particolare quelli della famiglia TDSS (noti anche come TDL4).

I rootkit sono programmi dannosi che nascondono la loro presenza sui sistemi infetti, rendendo difficile il rilevamento da parte del software antivirus standard. TDSSKiller è in grado di identificare ed eliminare queste minacce profondamente radicate, aiutando a ripristinare la sicurezza e la funzionalità del sistema. Lo strumento è leggero, facile da usare e può essere eseguito insieme ad altre soluzioni antivirus per una maggiore protezione.

Distribuzione di LaZagne

Una volta eliminato l'EDR, il gruppo distribuisce LaZagne, un infostealer in grado di carpire le credenziali di accesso a vari servizi della rete. Questo malware estrae tutte le credenziali rubate in un singolo file che, dopo il caricamento, il gruppo cancella per coprire le proprie tracce. Con l'accesso ottenuto, possono quindi distribuire il crittografo senza temere di essere segnalati dai programmi antivirus.

RansomHub è un attore relativamente giovane del ransomware, nato dall'ormai defunto ALPHV/BlackCat. Il gruppo era un affiliato di ALPHV ed è stato responsabile dell'attacco a Change Healthcare, che ha portato l'organizzazione sanitaria a pagare 22 milioni di dollari di riscatto. Gli operatori di ALPHV hanno preso tutto il denaro e hanno chiuso la propria infrastruttura, lasciando RansomHub senza la propria parte di bottino. Da allora il gruppo è rimasto attivo, compromettendo decine di organizzazioni in tutto il mondo.

Via BleepingComputer

TOPICS
Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.