Печально известная группа вымогателей RansomHub была поймана на злоупотреблении законным инструментом «Лаборатории Касперского» для отключения инструментов Endpoint Detection and Response (EDR), а затем незаметной установки вредоносного ПО второго уровня на зараженные системы.

Исследователи кибербезопасности из Malwarebytes, которые недавно обнаружили эту активность в дикой природе, отметили, что как только RansomHub скомпрометирует конечную точку и найдет путь к ней, он должен сначала отключить все инструменты EDR, прежде чем развертывать инфокрады или шифровальщики. В этом сценарии они используют инструмент TDSSKiller — специализированный инструмент Kspersky для обнаружения и удаления руткитов, особенно из семейства TDSS (также известного как TDL4).