Wouter Hoeffnagel - 12 september 2024

Ransomwaregroepering zet legitieme securitytools in

De ransomwaregroepering RansomHub zet legitieme securitytools in voor het uitschakelen van endpoint detection and response (EDR)-systemen en het extraheren van inloggegevens uit diverse applicatiedatabases. Met behulp van deze inloggegevens proberen zij vervolgens hun toegang op het binnengedrongen netwerk te vergroten.

Ransomwaregroepering zet legitieme securitytools in image

Dit meldt securitybedrijf Malwarebytes. RansomHub zet twee legitieme tools in. TDSSKiller van het Russische securitybedrijf Kaspersky wordt gebruikt voor het uitschakelen van EDR-systemen. Deze tool is ontwikkeld voor het scannen van systemen op de aanwezigheid van root- en bootkits, wat twee soorten malware zijn die lastig gedetecteerd kunnen worden met standaard-securitytools.

Anderzijds zet de groep de opensourcetool LaZagne in voor het herstellen van inloggegevens wordt gebruikt voor het uit databases halen van inloggegevens. Deze tool is sinds 2019 beschikbaar op GitHub en bevat modules voor zowel Windows, Linux als OSX.

Gebruik is niet nieuw

Malwarebytes meldt dat het gebruik van deze tools niet nieuw is, maar het wel voor het eerst is dat RansomHub de tools inzet. RansomwareHub was eerder actief als Cyclops en Knight, en biedt zogeheten ransomware-as-a-service aan. Hiermee kunnen kwaadwillenden via een as-a-service model ransomware afnemen, zodat zij deze zelf niet hoeven te ontwikkelen.

Tanium BW 08/10/2024 - 01/11/2024 DIC Awards BW tm 28-10-2024
Tanium BN+BW 8/10/2024 - 01/11/2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!