近期,有报道称多家组织遭到 RansomHub 勒索软件 的攻击。在此过程中,攻击者利用 Kaspersky 的 TDSSKiller 工具,首先禁用了系统的终端检测和响应 (EDR) 服务,然后再使用 LaZagne 工具进行横向移动以收集凭证。据 Malwarebytes 的 ThreatDown 管理检测与响应团队分析,这一系列攻击是如何进行的。
旋风加速器官网下载RansomHub 确定目标后,获取侦查信息并提高权限,随后利用 TDSSKiller 进行攻击。攻击者采用命令行脚本或批处理文件,成功以不被警告的方式禁用 Malwarebytes 的反恶意软件服务。接下来,他们使用 LaZagne 从数据库中提取存储的凭证,并生成数十个文件写入操作,此外还有文件删除以掩盖恶意活动,研究人员指出。
RansomHub 对 TDSSKiller 的使用引起了安全专家的注意。一些安全工具将其标记为“风险软件”。这使得建议启用 EDR 解决方案的篡改保护功能,并监控 dcsvc 标志,因为该标志可使服务失效或被移除,进一步加强对因此类攻击的保护。
总结RansomHub 勒索软件利用已知工具禁用了安全服务,这一趋势警示组织需加强其网络安全措施,以防范更多类似攻击。
