Dabar užpuolikai naudoja teisėtas priemones, kad išjungtų apsaugos priemones ir pavogtų duomenis.

„Malwarebytes“ komanda nustatė, kad išpirkos reikalaujančių programų grupė ‚RansomHub‘ naudoja teisėtą įrankį TDSSKiller, kad įrenginyje išjungtų EDR įrankius. Be „TDSSKiller“, kibernetiniai nusikaltėliai taip pat naudoja LaZagne duomenims rinkti. Šios programos jau seniai žinomos kibernetiniams nusikaltėliams, tačiau „RansomHub“ jomis naudojasi pirmą kartą.

TDSSKiller kurią iš pradžių sukūrė Kaspersky Lab, kad pašalintų rootkit’us, buvo naudojama EDR sistemoms išjungti. Atlikusi žvalgybą ir nustačiusi paskyras su padidintomis privilegijomis, „RansomHub“ bandė išjungti apsaugos paslaugą „MBAMService“.

Įrankis buvo paleistas iš laikinojo katalogo, naudojant dinamiškai sukurtą failo pavadinimą, kad būtų sunkiau jį aptikti. Kadangi „TDSSKiller“ yra teisėta programa, turinti galiojantį sertifikatą, daugelis saugumo sistemų įsilaužėlių veiksmų neatpažįsta kaip grėsmės.

Išjungusi apsaugos sistemas, „RansomHub“ paleido įrankį „LaZagne“, kad surinktų įgaliojimus iš užkrėstų sistemų. Programa išgauna slaptažodžius iš įvairių programų, pavyzdžiui, naršyklių, el. pašto klientų ir duomenų bazių, todėl įsilaužėliai gali išplėsti savo privilegijas ir judėti tinkle. Šiuo atveju kibernetinių nusikaltėlių tikslas buvo gauti prieigą prie duomenų bazės, kad jie galėtų kontroliuoti svarbias sistemas.

Atakos metu „LaZagne“ sukūrė daugiau kaip 60 failų, kurių daugumoje buvo prisijungimo vardai ir slaptažodžiai. Siekdami paslėpti programos pėdsakus, įsilaužėliai, baigę operaciją, kai kuriuos failus taip pat ištrynė.

Aptikti „LaZagne“ gana lengva, nes dauguma antivirusinių programų ją pažymi kaip kenkėjišką programą. Tačiau jei „TDSSKiller“ buvo naudojama saugumo sistemoms išjungti, programos veikla tampa nematoma daugeliui įrankių.

ThreatDown ragina organizacijas imtis papildomų atsargumo priemonių, kad apsisaugotų nuo tokių atakų. Konkrečiai ji rekomenduoja apriboti pažeidžiamų tvarkyklių, tokių kaip „TDSSKiller“, naudojimą ir stebėti įtartinas sistemose naudojamas komandas. Taip pat svarbu segmentuoti tinklą ir izoliuoti svarbiausias sistemas, kad būtų sumažinta rizika, jei būtų pažeisti įgaliojimai.