Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

Группировка кибервымогателей RansomHub использует легитимную утилиту «Лаборатории Касперского» — TDSSKiller. С помощью последней атакующие отключают защитные системы.

TDSSKiller в этих атаках фигурирует как первая ступень, затем, когда защитный софт уже отключён, злоумышленники устанавливают в систему жертвы LaZagne, инструмент для извлечения учётных данных.

Напомним, изначально TDSSKiller разрабатывалась для детектирования руткитов и буткитов, тем не менее функциональность утилиты имеет ценность и для киберпреступников.

Например, согласно отчёту Malwarebytes, операторы RansomHub задействуют TDSSKiller для взаимодействия со службами уровня ядра с помощью сценария командной строки или пакетного файла.

Задача — отключить службу MBAMService (Malwarebytes Anti-Malware Service), запущенную на атакованной машине.

 

TDSSKiller, как известно, запускается из временной директории — C:\Users\<User>\AppData\Local\Temp\, при этом имя файла генерируется динамически: {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe.

У утилиты есть валидная подпись, поэтому она не вызывает подозрений у защитных решений.

CISA: российские хакеры прячут атаки за домашними и офисными роутерами

CISA и ведомства нескольких стран предупредили о новой волне кибератак на плохо защищенные роутеры. По их данным, связанные с ФСБ хакерские группы взламывают сетевые устройства по всему миру и превращают их в прокси-узлы для атак на критическую инфраструктуру.

Речь идёт о группировках, известных под именами Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra.

Киберпреступники сканируют интернет в поисках роутеров с включенным протоколом SNMP, особенно его устаревшими версиями. Если устройство использует стандартный пароль или слабую настройку, его можно быстро забрать под контроль.

После этого роутер становится цифровой маской. Через него пропускают разведку и вредоносный трафик, направленный на телеком, энергетику, оборонные предприятия, банки и госструктуры.

Для защитных систем такой трафик выглядит не как обычное подключение со вполне безобидного IP-адреса. В итоге чужой домашний или офисный роутер может незаметно участвовать в кибератаке, пока владелец просто смотрит видео и ругается на медленный интернет.

CISA советует отключить старые версии SNMP, сменить стандартные пароли, обновить прошивку и выключить ненужные сетевые службы.

RSS: Новости на портале Anti-Malware.ru