RansomHub y sus nuevas
técnicas: TDSSKiller y
LaZagne en ataques de
ransomware

En el panorama actual de ciberamenazas, RansomHub se destaca como una variante de ransomware avanzada que utiliza herramientas innovadoras para eludir la detección y maximizar el daño. Hace poco se detectó en él el empleo de aplicaciones como TDSSKiller , diseñada para eliminar rootkits, y LaZagne , así como extraer credenciales, logrando así evadir medidas de seguridad y acceder a datos críticos. En este artículo comentaremos cómo funcionan estas herramientas y por qué es clave conocer estas amenazas en constante evolución.

Según estadísticas, el ransomware es una de las amenazas que más ha crecido en los últimos años. De hecho, las pequeñas y medianas empresas (PYMES) son un objetivo principal de los ciberataques, con el 71% afectadas en algunos estudios. Además, un porcentaje notable de las empresas afectadas opta por pagar los rescates: el 32% en ciertos casos, aunque con resultados variables, ya que muchas no recuperan todos sus datos.

¿Qué es RansomHub?

RansomHub es un tipo de ransomware que se distingue por su uso de herramientas avanzadas para ampliar su alcance. A diferencia de otros tipos de ransomware, que simplemente bloquean los archivos, RansomHub emplea métodos de evasión y robo de información que incrementan su efectividad.

¿Cómo funciona el RansomHub?

RansomHub utiliza diferentes métodos para entrar en los sistemas de las víctimas. Puede hacerlo a través de correos electrónicos engañosos (phishing), ataques más específicos (spear-phishing) o aprovechando fallos de seguridad conocidos. Una vez que logran acceder a un sistema, se mueven por la red para atacar otros sistemas y servidores. Luego, instalan el ransomware, lo que significa que cifran los archivos de la víctima, haciéndolos inaccesibles. Finalmente, dejan una nota de rescate en el sistema, exigiendo un pago a cambio de la clave que permite recuperar los archivos.

Nuevas herramientas utilizadas por RansomHub

Uso de TDSSKiller

TDSSKiller desarrollada por Kaspersky, es una herramienta diseñada para detectar y eliminar rootkits,una forma de malware que se oculta dentro de los sistemas operativos para evitar la detección de antivirus. Pero atacantes de ransomware, como “RansomHub”, la emplea para desactivar temporalmente las defensas de seguridad.

Además, con acceso de administrador, ejecutan scripts o archivos por lotes que deshabilitan antivirus y EDR, permitiendo que el ransomware opere sin ser detectado. La efectividad del ataque radica en que, al ser una herramienta legítima, evade los controles de seguridad.

image 2
image 2

Es así como RansomHub utilizó TDSSKiller para intentar desactivar varios servicios de seguridad esenciales.

Al tener privilegios de administrador, el atacante puede desactivar estos servicios, incluso si hay protecciones activadas.

Detalles de la línea de comandos

  • Línea de comando :tdsskiller.exe -dcsvc [....]

El indicador -dcsvc se utilizó para apuntar a servicios de seguridad específicos.

  • Ruta del archivo : Los atacantes intentaron ejecutar TDSSKiller desde un directorio temporal ( C:\Users\<User>\AppData\Local\Temp\), con un nombre de archivo generado dinámicamente como {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe.

Estos datos fueron recabados por ThreatDown Managed Detection and Response (MDR)

LaZagne: Robo de credenciales

RansomHub intento utilizar LaZagne, una herramienta de código abierto para recuperar contraseñas en sistemas Windows, con el objetivo de robar credenciales de cuentas críticas, navegadores y redes. Esto le permite acceder a información sensible y redes internas. En un ataque reciente se resaltan los siguientes hallazgos:

Detalles de la línea de comandos: 

  • Línea de comandos: Los atacantes tuvieron como objetivo las credenciales de la base de datos LaZagne.exe, un recurso clave para acceder a sistemas críticos y aumentar sus privilegios. Estas credenciales pueden ofrecer control total sobre datos confidenciales.
  • Actividad de escritura y eliminación de archivos : Durante su ejecución, LaZagne realizó 60 escrituras de archivos, probablemente para registrar las credenciales robadas, y eliminó 1 archivo para ocultar sus actividades y evitar ser rastreado.
image 1
image 1

Estos datos fueron recabados por ThreatDown Managed Detection and Response (MDR)

Impacto de las nuevas técnicas de RansomHub en la seguridad

Las técnicas empleadas por RansomHub representan un riesgo significativo para la seguridad . Al combinar herramientas de evasión y robo de información, este ransomware es capaz de eludir los sistemas de detección mientras accede a cuentas y redes. Esto no solo compromete datos confidenciales, sino que también abre la puerta a futuros ataques.

Según un informe de ThreatLabz 2024, los ataques de ransomware han aumentado un 18% a nivel global en el último año. Los sectores más afectados en España incluyen manufactura, tecnología, inmobiliario y salud, lo que subraya la necesidad urgente de fortalecer las medidas de seguridad en estas industrias.

Medidas de protección contra el ataque RansomHub

Para protegerse contra los ataques de ransomware como RansomHub, es fundamental implementar una estrategia de seguridad integral que abarque medidas preventivas, de detección y de respuesta rápida. Aquí te compartimos algunas recomendaciones:

  1. Restringir los exploits de bring your own vulnerable driver (BYOVD):
  2. Implemente controles para supervisar y restringir el uso de controladores vulnerables, como TDSSKiller. Esto es especialmente importante cuando se ejecutan con comandos sospechosos, como -dcsvc.
  3. Coloque en cuarentena o bloquee patrones de uso indebido conocidos, mientras permite el uso legítimo. Esto ayudará a prevenir ataques a través de controladores vulnerables.
  4. Aislar los sistemas críticos:
  5. Utilice la segmentación de la red para limitar el movimiento lateral dentro de la infraestructura. Esto significa que si un atacante obtiene acceso a credenciales, su capacidad para propagarse por la red y acceder a bases de datos confidenciales se verá restringida.
  6. Mantener software y sistemas Actualizados:
  7. Asegúrese de que todos los sistemas operativos, aplicaciones y software de seguridad estén actualizados con los últimos parches. Esto ayuda a cerrar vulnerabilidades que los atacantes podrían explotar.
  8. Capacitación y concienciación del personal:
  9. Realice sesiones de capacitación periódicas sobre ciberseguridad para que los empleados reconozcan correos electrónicos de phishing y otros intentos de engaño.
  10. Copias de Seguridad Regulares:
  11. Realice copias de seguridad de los datos críticos de forma regular y asegúrese de que estas copias estén almacenadas de manera segura y desconectadas de la red principal.
  12. Implementar Soluciones de Detección y Respuesta:
  13. Utilice herramientas de detección de intrusiones y soluciones de respuesta a incidentes que puedan identificar comportamientos sospechosos y actuar rápidamente para mitigar los daños.

RansomHub se ha convertido en una de las principales amenazas en ciberseguridad al combinar herramientas para evadir detección con técnicas para robar credenciales. Este método no solo evita los sistemas de seguridad tradicionales, sino que también permite a los atacantes acceder a información sensible y tener un mayor control sobre los sistemas. Para enfrentar estas amenazas en constante evolución, es clave que tanto los usuarios como las empresas mantengan prácticas de seguridad actualizadas.

Te invitamos a visitar nuestro blog y suscribirte para estar al tanto de las nuevas amenazas en ciberseguridad.

Noticias
relacionadas

¿Cómo hacer un análisis de ciberseguridad a nuestro cliente?

¿Cómo hacer un análisis de ciberseguridad a nuestro cliente? Conoce las principales herramientas
para la ciberseguridad con este ebook. DESCARGAR AQUÍ Consejos de seguridad cibernética para
empresas. La seguridad cibernética es una prioridad absoluta. ¡Aumenta la resiliencia cibernética!
Protege las ''Joyas de la Corona'' Haz una copia de seguridad de tus datos. Capacita a tus…

Atención integral al cliente en una única herramienta

Atención integral al cliente en una única herramienta Conoce las principales tendencias en
ciberseguridad para 2023 con este ebook. DESCARGAR AQUÍ El pasado 16 de marzo de 2023,
ADM Cloud & Services entrevistó a David García Ramírez, gerente de DAGARA Informática. El
objetivo de la entrevista fue comentar el éxito que están teniendo gracias a…

Optimizando la eficiencia y la seguridad: El arte del filtrado de correo electrónico

Navegando en la Era Digital: Tendencias y estrategias en Ciberseguridad para el 2024 Conoce las
principales herramientas de ciberseguridad con este ebook. DESCARGAR AQUÍ 1. Ciberseguridad a
Alto Nivel: Más allá de los límites Convencionales. 2. Inteligencia Artificial (IA): Transformando la
Defensa Cibernética. 3. Confianza Cero: Una revolución en la seguridad perimetral 4. Formación
Profesional:…

¿Qué es una plataforma PaaS? Principales beneficios e inconvenientes

¿Qué es una plataforma PaaS? Principales beneficios e inconvenientes Conoce las principales
herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es una plataforma
PaaS?Principales beneficios de una plataforma SaaSBeneficios e inconvenientes de un plataforma
PaaS ¿Qué es una plataforma SaaS?La plataforma como servicio (PaaS) es un modelo de
computación en la nube en…

¿Por qué ofrecer Backup de Microsoft 365?

¿Por qué ofrecer Backup de Microsoft 365? Conoce las principales herramientas para la
ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Necesidad de
protección en caso de eliminación accidental de los datos Necesidad de protección contra
amenazas internas Eliminar los excesos de privilegio A medida que la tecnología avanza, esta toma
un papel cada…

el arte del hackeo ético defensa en la guerra cibernética
el arte del hackeo ético defensa en la guerra cibernética

El arte del Hackeo Ético: Defensa en la guerra Cibernética

En la era digital, donde la información es uno de los activos más valiosos, la ciberseguridad se ha
convertido en una prioridad crucial para organizaciones y gobiernos en todo el mundo. En este
contexto, el hackeo ético juega un papel fundamental par proteger sistemas y datos contra
amenazas cibernéticas. Este artículo explora que es el…

¿Te has visto afectad@ por la DANA?

Si tu empresa ha sido afectada por la DANA y necesitas ayuda haz click en el siguiente botón y te ayudaremos lo antes posible. 
Más información