กลุ่มแรนซั่มแวร์ RansomHub กำลังใช้ TDSSKiller ซึ่งเป็นเครื่องมือที่ถูกต้องตามกฎหมายจาก Kaspersky เพื่อปิดใช้งานบริการด้านการตรวจจับและตอบสนอง หรือ EDR บนระบบของเครื่องเป้าหมาย
และหลังจากที่มันปิดการบริการ EDR ได้แล้ว RansomHub ก็จะใช้เครื่องมือ LaZagne ในการเก็บเกี่ยวและดึงข้อมูลเข้าสู่ระบบจากฐานข้อมูลแอปพลิเคชันต่างๆ ที่สามารถช่วยในการเคลื่อนย้ายไปยังเครือข่ายได้
โดยบริษัทความปลอดภัยทางไซเบอร์ Malwarebytes ได้รายงานว่า พวกเขาเพิ่งสังเกตเห็น ภัย RansomHub ได้ใช้อุปกรณ์ TDSSKiller เพื่อโต้ตอบกับบริการระดับเคอร์เนลโดยใช้สคริปต์บรรทัดคำสั่งหรือไฟล์ชุดคำสั่งที่ปิดใช้งานบริการ Malwarebytes Anti-Malware (MBAMService) ที่ทำงานบนเครื่อง
และจากนั้นก็ใช้เครื่องมือ LaZagne เพื่อพยายามดึงข้อมูลเข้าสู่ระบบที่เก็บไว้ในฐานข้อมูล โดยในการโจมตีที่ Malwarebytes ได้สังเกตุเห็นพบว่าเครื่องมือนี้สร้างการเขียนไฟล์ 60 ครั้ง ซึ่งน่าจะเป็นบันทึกของข้อมูลเข้าสู่ระบบที่ถูกขโมยมา
สำหรับTDSSKiller เป็นเครื่องมือที่สร้างโดย Kaspersky มันเอาไว้สแกนระบบเพื่อตรวจหาการมีอยู่ของ rootkits และ bootkits ซึ่งเป็นมัลแวร์ที่ตรวจจับได้ยากและสามารถหลบเลี่ยงเครื่องมือรักษาความปลอดภัยมาตรฐานได้
อ่านเพิ่มเติมที่นี่ – BPC
