Ransomwaregroepering zet legitieme securitytools in
De ransomwaregroepering RansomHub zet legitieme securitytools in voor het uitschakelen van endpoint detection and response (EDR)-systemen en het extraheren van inloggegevens uit diverse applicatiedatabases. Met behulp van deze inloggegevens proberen zij vervolgens hun toegang op het binnengedrongen netwerk te vergroten.
Dit meldt securitybedrijf Malwarebytes. RansomHub zet twee legitieme tools in. TDSSKiller van het Russische securitybedrijf Kaspersky wordt gebruikt voor het uitschakelen van EDR-systemen. Deze tool is ontwikkeld voor het scannen van systemen op de aanwezigheid van root- en bootkits, wat twee soorten malware zijn die lastig gedetecteerd kunnen worden met standaard-securitytools.
Anderzijds zet de groep de opensourcetool LaZagne in voor het herstellen van inloggegevens wordt gebruikt voor het uit databases halen van inloggegevens. Deze tool is sinds 2019 beschikbaar op GitHub en bevat modules voor zowel Windows, Linux als OSX.
Gebruik is niet nieuw
Malwarebytes meldt dat het gebruik van deze tools niet nieuw is, maar het wel voor het eerst is dat RansomHub de tools inzet. RansomwareHub was eerder actief als Cyclops en Knight, en biedt zogeheten ransomware-as-a-service aan. Hiermee kunnen kwaadwillenden via een as-a-service model ransomware afnemen, zodat zij deze zelf niet hoeven te ontwikkelen.