หน้าแรก ไม่มีหมวดหมู่ กลุ่มแรนซั่มแวร์ RansomHub ใช้ประโยชน์จาก TDSSKiller ซึ่งเป็นเครื่องมือของ Kaspersky เพื่อปิดการทำงานของซอฟต์แวร์ EDR

กลุ่มแรนซั่มแวร์ RansomHub ใช้ประโยชน์จาก TDSSKiller ซึ่งเป็นเครื่องมือของ Kaspersky เพื่อปิดการทำงานของซอฟต์แวร์ EDR

แบ่งปัน

กลุ่มแรนซั่มแวร์ RansomHub กำลังใช้ TDSSKiller ซึ่งเป็นเครื่องมือที่ถูกต้องตามกฎหมายจาก Kaspersky เพื่อปิดใช้งานบริการด้านการตรวจจับและตอบสนอง หรือ EDR บนระบบของเครื่องเป้าหมาย

และหลังจากที่มันปิดการบริการ EDR ได้แล้ว RansomHub ก็จะใช้เครื่องมือ LaZagne ในการเก็บเกี่ยวและดึงข้อมูลเข้าสู่ระบบจากฐานข้อมูลแอปพลิเคชันต่างๆ ที่สามารถช่วยในการเคลื่อนย้ายไปยังเครือข่ายได้

Advertisement

โดยบริษัทความปลอดภัยทางไซเบอร์ Malwarebytes ได้รายงานว่า พวกเขาเพิ่งสังเกตเห็น ภัย RansomHub ได้ใช้อุปกรณ์ TDSSKiller เพื่อโต้ตอบกับบริการระดับเคอร์เนลโดยใช้สคริปต์บรรทัดคำสั่งหรือไฟล์ชุดคำสั่งที่ปิดใช้งานบริการ Malwarebytes Anti-Malware (MBAMService) ที่ทำงานบนเครื่อง

และจากนั้นก็ใช้เครื่องมือ LaZagne เพื่อพยายามดึงข้อมูลเข้าสู่ระบบที่เก็บไว้ในฐานข้อมูล โดยในการโจมตีที่ Malwarebytes ได้สังเกตุเห็นพบว่าเครื่องมือนี้สร้างการเขียนไฟล์ 60 ครั้ง ซึ่งน่าจะเป็นบันทึกของข้อมูลเข้าสู่ระบบที่ถูกขโมยมา

สำหรับTDSSKiller เป็นเครื่องมือที่สร้างโดย Kaspersky มันเอาไว้สแกนระบบเพื่อตรวจหาการมีอยู่ของ rootkits และ bootkits ซึ่งเป็นมัลแวร์ที่ตรวจจับได้ยากและสามารถหลบเลี่ยงเครื่องมือรักษาความปลอดภัยมาตรฐานได้

อ่านเพิ่มเติมที่นี่ – BPC