O grupo de ransomware RansomHub foi flagrado utilizando uma nova técnica de ataque, envolvendo duas ferramentas bem conhecidas: TDSSKiller, para desativar sistemas de EDR, e LaZagne, um coletor de credenciais. Embora ambas as ferramentas já sejam usadas por cibercriminosos há anos, esta é a primeira vez que o RansomHub foi visto empregando esses recursos em suas operações. Nenhuma menção a essas táticas foi feita no recente relatório da CISA sobre o RansomHub, o que destaca uma mudança nas técnicas, táticas e procedimentos (TTPs) do grupo.

As ferramentas foram utilizadas após o reconhecimento inicial e a sondagem da rede, quando os atacantes realizaram a enumeração de grupos administrativos. O TDSSKiller, desenvolvido originalmente pela Kaspersky para remover rootkits, foi usado pelo RansomHub para desativar serviços de segurança, como o Malwarebytes Anti-Malware Service (MBAMService). Por meio de privilégios administrativos, os invasores conseguiram contornar proteções de manipulação de software, desabilitando o EDR com sucesso.

Após desativar as defesas, o RansomHub implantou o LaZagne, uma ferramenta popular para extração de credenciais. A ferramenta foi utilizada para coletar informações de login armazenadas em diversos aplicativos, como navegadores e clientes de e-mail, com foco particular em credenciais de banco de dados. Esse tipo de dado permite aos atacantes escalar privilégios e obter controle sobre sistemas críticos. Para mitigar esse tipo de ataque, os pesquisadores recomendam a restrição de explorações de Bring Your Own Vulnerable Driver (BYOVD), monitorando o uso de drivers vulneráveis como o TDSSKiller e implementando regras de bloqueio.