กลุ่ม RansomHub ใช้เครื่องมือของ Kaspersky เพื่อปิดระบบการป้องกัน EDR

319/67 (IT) ประจำวันพฤหัสบดีที่ 12 กันยายน 2567

กลุ่มแรนซัมแวร์ RansomHub ถูกพบว่าใช้เครื่องมือ TDSSKiller ซึ่งเป็นซอฟต์แวร์ที่ถูกพัฒนาขึ้นโดย Kaspersky เพื่อปิดการทำงานของบริการ Endpoint Detection and Response (EDR) บนระบบเป้าหมาย หลังจากปิดการป้องกันแล้ว พวกเขาใช้เครื่องมือ LaZagne เพื่อขโมยข้อมูลการเข้าสู่ระบบจากแอปพลิเคชันต่างๆ ที่ช่วยให้พวกเขาเคลื่อนย้ายไปทั่วเครือข่ายได้ง่ายขึ้น โดย TDSSKiller เดิมถูกออกแบบมาเพื่อตรวจจับรูทคิทและบูตคิท ซึ่งเป็นมัลแวร์ที่ตรวจจับได้ยาก แต่กลุ่ม RansomHub นำมาใช้ในทางที่ผิดเพื่อปิดการใช้งานระบบรักษาความปลอดภัย โดยใช้คำสั่งหรือไฟล์แบตช์ในการปิดการทำงานของโปรแกรมป้องกัน เนื่องจาก TDSSKiller เป็นเครื่องมือที่ถูกกฎหมายและมีการลงนามรับรอง จึงสามารถทำงานได้โดยไม่ถูกตรวจจับโดยโซลูชันความปลอดภัย    

หลังจากที่ระบบป้องกันถูกปิดแล้ว กลุ่ม RansomHub จะใช้ LaZagne ซึ่งเป็นเครื่องมือสำหรับดึงข้อมูลการเข้าสู่ระบบจากฐานข้อมูลของแอปพลิเคชันต่าง ๆ การโจมตีครั้งนี้ถูกพบในระบบที่ Malwarebytes ตรวจสอบ โดยกลุ่มโจมตีได้สร้างไฟล์หลายรายการที่น่าจะเป็นบันทึกข้อมูลประจำตัวที่ถูกขโมยไป ซึ่งเครื่องมือ LaZagne นั้น สามารถตรวจจับได้ง่ายโดยโปรแกรมป้องกันไวรัส แต่ถ้าหากมีการใช้ TDSSKiller เพื่อปิดการป้องกันก่อน การโจมตีอาจจะไม่ถูกตรวจพบ ในกรณีนี้ TDSSKiller กลายเป็นเครื่องมือที่อยู่ใน”พื้นที่สีเทา” ซึ่งเครื่องมือบางประเภทจะติดป้ายว่าเป็น “RiskWare” ที่อาจส่งผลกระทบต่อความปลอดภัยของระบบ ทั้งนี้ บริษัทด้านความปลอดภัยแนะนำให้ผู้ใช้เปิดใช้งานคุณสมบัติป้องกันการปลอมแปลง (Anti-tamper) บนโซลูชัน EDR และตรวจสอบการทำงานของ TDSSKiller เพื่อลดความเสี่ยงจากการโจมตีเหล่านี้

แหล่งข่าว https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software