RansomHub y sus nuevas técnicas: TDSSKiller y LaZagne en ataques de ransomware

En el panorama actual de ciberamenazas, RansomHub se destaca como una variante de ransomware avanzada que utiliza herramientas innovadoras para eludir la detección y maximizar el daño. Hace poco se detectó en él el empleo de aplicaciones como TDSSKiller , diseñada para eliminar rootkits, y LaZagne , así como extraer credenciales, logrando así evadir medidas de seguridad y acceder a datos críticos. En este artículo comentaremos cómo funcionan estas herramientas y por qué es clave conocer estas amenazas en constante evolución.

Según estadísticas, el ransomware es una de las amenazas que más ha crecido en los últimos años. De hecho, las pequeñas y medianas empresas (PYMES) son un objetivo principal de los ciberataques, con el 71% afectadas en algunos estudios. Además, un porcentaje notable de las empresas afectadas opta por pagar los rescates: el 32% en ciertos casos, aunque con resultados variables, ya que muchas no recuperan todos sus datos.

¿Qué es RansomHub?

RansomHub es un tipo de ransomware que se distingue por su uso de herramientas avanzadas para ampliar su alcance. A diferencia de otros tipos de ransomware, que simplemente bloquean los archivos, RansomHub emplea métodos de evasión y robo de información que incrementan su efectividad.

¿Cómo funciona el RansomHub?

RansomHub utiliza diferentes métodos para entrar en los sistemas de las víctimas. Puede hacerlo a través de correos electrónicos engañosos (phishing), ataques más específicos (spear-phishing) o aprovechando fallos de seguridad conocidos. Una vez que logran acceder a un sistema, se mueven por la red para atacar otros sistemas y servidores. Luego, instalan el ransomware, lo que significa que cifran los archivos de la víctima, haciéndolos inaccesibles. Finalmente, dejan una nota de rescate en el sistema, exigiendo un pago a cambio de la clave que permite recuperar los archivos.

Nuevas herramientas utilizadas por RansomHub

Uso de TDSSKiller

TDSSKiller desarrollada por Kaspersky, es una herramienta diseñada para detectar y eliminar rootkits,una forma de malware que se oculta dentro de los sistemas operativos para evitar la detección de antivirus. Pero atacantes de ransomware, como “RansomHub”, la emplea para desactivar temporalmente las defensas de seguridad.

Además, con acceso de administrador, ejecutan scripts o archivos por lotes que deshabilitan antivirus y EDR, permitiendo que el ransomware opere sin ser detectado. La efectividad del ataque radica en que, al ser una herramienta legítima, evade los controles de seguridad.

Es así como RansomHub utilizó TDSSKiller para intentar desactivar varios servicios de seguridad esenciales.

Al tener privilegios de administrador, el atacante puede desactivar estos servicios, incluso si hay protecciones activadas.

Detalles de la línea de comandos

• Línea de comando :tdsskiller.exe -dcsvc [....]

El indicador -dcsvc se utilizó para apuntar a servicios de seguridad específicos.

• Ruta del archivo : Los atacantes intentaron ejecutar TDSSKiller desde un directorio temporal ( C:\Users\<User>\AppData\Local\Temp\), con un nombre de archivo generado dinámicamente como {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe.

Estos datos fueron recabados por ThreatDown Managed Detection and Response (MDR)

LaZagne: Robo de credenciales

RansomHub intento utilizar LaZagne, una herramienta de código abierto para recuperar contraseñas en sistemas Windows, con el objetivo de robar credenciales de cuentas críticas, navegadores y redes. Esto le permite acceder a información sensible y redes internas. En un ataque reciente se resaltan los siguientes hallazgos:

Detalles de la línea de comandos: 

• Línea de comandos: Los atacantes tuvieron como objetivo las credenciales de la base de datos LaZagne.exe, un recurso clave para acceder a sistemas críticos y aumentar sus privilegios. Estas credenciales pueden ofrecer control total sobre datos confidenciales.
• Actividad de escritura y eliminación de archivos : Durante su ejecución, LaZagne realizó 60 escrituras de archivos, probablemente para registrar las credenciales robadas, y eliminó 1 archivo para ocultar sus actividades y evitar ser rastreado.

Estos datos fueron recabados por ThreatDown Managed Detection and Response (MDR)

Impacto de las nuevas técnicas de RansomHub en la seguridad

Las técnicas empleadas por RansomHub representan un riesgo significativo para la seguridad . Al combinar herramientas de evasión y robo de información, este ransomware es capaz de eludir los sistemas de detección mientras accede a cuentas y redes. Esto no solo compromete datos confidenciales, sino que también abre la puerta a futuros ataques.

Según un informe de ThreatLabz 2024, los ataques de ransomware han aumentado un 18% a nivel global en el último año. Los sectores más afectados en España incluyen manufactura, tecnología, inmobiliario y salud, lo que subraya la necesidad urgente de fortalecer las medidas de seguridad en estas industrias.

Medidas de protección contra el ataque RansomHub

Para protegerse contra los ataques de ransomware como RansomHub, es fundamental implementar una estrategia de seguridad integral que abarque medidas preventivas, de detección y de respuesta rápida. Aquí te compartimos algunas recomendaciones:

1. Restringir los exploits de bring your own vulnerable driver (BYOVD):
2. Implemente controles para supervisar y restringir el uso de controladores vulnerables, como TDSSKiller. Esto es especialmente importante cuando se ejecutan con comandos sospechosos, como -dcsvc.
3. Coloque en cuarentena o bloquee patrones de uso indebido conocidos, mientras permite el uso legítimo. Esto ayudará a prevenir ataques a través de controladores vulnerables.
4. Aislar los sistemas críticos:
5. Utilice la segmentación de la red para limitar el movimiento lateral dentro de la infraestructura. Esto significa que si un atacante obtiene acceso a credenciales, su capacidad para propagarse por la red y acceder a bases de datos confidenciales se verá restringida.
6. Mantener software y sistemas Actualizados:
7. Asegúrese de que todos los sistemas operativos, aplicaciones y software de seguridad estén actualizados con los últimos parches. Esto ayuda a cerrar vulnerabilidades que los atacantes podrían explotar.
8. Capacitación y concienciación del personal:
9. Realice sesiones de capacitación periódicas sobre ciberseguridad para que los empleados reconozcan correos electrónicos de phishing y otros intentos de engaño.
10. Copias de Seguridad Regulares:
11. Realice copias de seguridad de los datos críticos de forma regular y asegúrese de que estas copias estén almacenadas de manera segura y desconectadas de la red principal.
12. Implementar Soluciones de Detección y Respuesta:
13. Utilice herramientas de detección de intrusiones y soluciones de respuesta a incidentes que puedan identificar comportamientos sospechosos y actuar rápidamente para mitigar los daños.

RansomHub se ha convertido en una de las principales amenazas en ciberseguridad al combinar herramientas para evadir detección con técnicas para robar credenciales. Este método no solo evita los sistemas de seguridad tradicionales, sino que también permite a los atacantes acceder a información sensible y tener un mayor control sobre los sistemas. Para enfrentar estas amenazas en constante evolución, es clave que tanto los usuarios como las empresas mantengan prácticas de seguridad actualizadas.

Te invitamos a visitar nuestro blog y suscribirte para estar al tanto de las nuevas amenazas en ciberseguridad.