RansomHub Ngakalin Antivirus Pakai TDSSKiller



RansomHub Ngakalin Antivirus Pakai TDSSKiller - credit for: bleepingcomputer - pibitek.biz - Jahat

credit for: bleepingcomputer


336-280
TL;DR
  • RansomHub menggunakan TDSSKiller untuk menonaktifkan sistem keamanan EDR.
  • TDSSKiller, aplikasi legal, menjadi senjata ampuh RansomHub untuk melumpuhkan keamanan sistem.
  • RansomHub menggunakan TDSSKiller untuk mengacaukan EDR dan menginstal Malware LaZagne.

pibitek.biz -RansomHub, kelompok penjahat dunia maya yang terkenal dengan aksi jahatnya, melakukan trik baru untuk menerobos pertahanan sistem. Mereka menggunakan TDSSKiller, aplikasi legal dari Kaspersky, untuk menonaktifkan sistem keamanan EDR (Endpoin Detection and Response). TDSSKiller merupakan aplikasi yang dirancang untuk membasmi rootkit dan bootkit, jenis malware yang sulit dideteksi dan dapat lolos dari sistem keamanan standar. Namun, di tangan RansomHub, TDSSKiller berubah menjadi senjata ampuh untuk melumpuhkan pertahanan EDR.

EDR merupakan sistem canggih yang bekerja di level inti sistem operasi, mengawasi dan mengendalikan aktivitas sistem tingkat rendah seperti akses file, pembuatan proses, dan koneksi jaringan. EDR memberikan perlindungan real-time dari ancaman seperti ransomware. Tapi RansomHub punya rencana jahat. Mereka menggunakan TDSSKiller untuk mengacaukan EDR. Mereka membuat skrip atau file batch yang memanfaatkan TDSSKiller untuk menonaktifkan Malwarebytes Anti-Malware Service (MBAMService). RansomHub menjalankan skrip ini di direktori sementara, menggunakan nama file yang unik dan acak, sehingga sulit dideteksi.

TDSSKiller yang merupakan aplikasi legal dengan sertifikat resmi, membuat trik RansomHub ini lolos dari radar sistem keamanan. Setelah berhasil menonaktifkan EDR, RansomHub melancarkan serangan berikutnya. Mereka menggunakan LaZagne, alat canggih untuk mencuri kredensial akun. LaZagne mengendus database aplikasi, mencuri login, dan password, untuk mendapatkan akses ke jaringan. Malwarebytes berhasil menemukan jejak kejahatan RansomHub. Mereka menemukan 60 file yang diciptakan oleh LaZagne, yang diduga berisi kredensial yang dicuri.

RansomHub berusaha menutupi jejak dengan menghapus file yang berkaitan dengan LaZagne. Namun, sebagian besar sistem keamanan sudah bisa mengenali LaZagne sebagai malware. Akan tetapi, LaZagne bisa bersembunyi di balik layar jika TDSSKiller berhasil menonaktifkan sistem keamanan. TDSSKiller menjadi senjata dua sisi. Di satu sisi, ia membantu melindungi sistem dari malware berbahaya. Di sisi lain, ia bisa digunakan oleh para penjahat siber untuk menonaktifkan sistem keamanan. Beberapa sistem keamanan, termasuk Malwarebytes ThreatDown, menandai TDSSKiller sebagai "RiskWare".

Hal ini menandakan bahaya potensial yang ditimbulkan oleh aplikasi ini. Untuk menghadapi ancaman RansomHub dan para penjahat siber, disarankan untuk mengaktifkan fitur tamper protection pada sistem EDR. Dengan mengaktifkan fitur ini, sistem keamanan tidak bisa dinonaktifkan secara paksa. Penting juga untuk mewaspadai aktivitas TDSSKiller. Awasi penggunaan parameter "-dcsvc" yang digunakan untuk menonaktifkan atau menghapus layanan, dan perhatikan eksekusi TDSSKiller itu sendiri. RansomHub dan para penjahat siber semakin licik dan canggih dalam melancarkan serangan.

Mereka memanfaatkan aplikasi legal untuk menonaktifkan sistem keamanan. Oleh karena itu, kita harus selalu waspada dan meningkatkan pertahanan sistem keamanan kita untuk menghadapi serangan-serangan jahat.