Redazione RHC : 11 Settembre 2024 13:03
Il team di Malwarebytes ha scoperto che il gruppo ransomware RansomHub utilizza lo strumento legittimo TDSSKiller per disabilitare gli strumenti EDR su un dispositivo. Oltre a TDSSKiller, i criminali informatici utilizzano anche LaZagne per raccogliere dati. Questi programmi sono conosciuti da tempo tra i criminali informatici, ma questa è la prima volta che vengono utilizzati da RansomHub. LaZagne è un’utilità per estrarre password da varie applicazioni e sistemi, che può aiutare nei test di penetrazione.
TDSSKiller, originariamente sviluppato da Kaspersky Lab per rimuovere i rootkit, è stato utilizzato per disabilitare i sistemi EDR. Dopo aver condotto una ricognizione e identificato gli account con privilegi elevati, RansomHub ha tentato di disabilitare il servizio di sicurezza MBAMService.
Lo strumento è stato eseguito da una directory temporanea utilizzando un nome file generato dinamicamente per rendere difficile il rilevamento. Poiché TDSSKiller è un programma legittimo con un certificato valido, molti sistemi di sicurezza non riconoscono che gli hacker criminali stanno effettuando azioni malevole.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Dopo aver disabilitato i sistemi di sicurezza, RansomHub ha lanciato lo strumento LaZagne per raccogliere credenziali dai sistemi infetti. Il programma estrae le password da varie applicazioni come browser, client di posta elettronica e database, consentendo agli aggressori di aumentare i propri privilegi e spostarsi lateralmente attraverso la rete. In questo caso l’obiettivo dei criminali informatici era quello di ottenere l’accesso alla banca dati che permettesse di controllare i sistemi critici.
Durante l’attacco, LaZagne ha creato più di 60 file, la maggior parte dei quali conteneva login e password. Per nascondere le tracce del programma, gli hacker hanno anche cancellato alcuni file una volta completata l’operazione.
Rilevare LaZagne è abbastanza semplice, poiché la maggior parte dei programmi antivirus lo contrassegna come malware. Tuttavia, se TDSSKiller veniva utilizzato per disabilitare i sistemi di protezione, l’attività del programma diventa invisibile alla maggior parte degli strumenti.
ThreatDown incoraggia le organizzazioni a prendere ulteriori precauzioni per proteggersi da tali attacchi. In particolare, si consiglia di limitare l’uso di driver vulnerabili come TDSSKiller e monitorare i comandi sospetti utilizzati sui sistemi. È inoltre importante segmentare la rete e isolare i sistemi critici per ridurre al minimo il rischio che le credenziali vengano compromesse.
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006