Malwarebytes研究人员发现，近来很猖獗的勒索软件RansomHub黑客，利用合法工具如卡巴斯基rootkit程序移除工具，来关闭受害者桌机安全机制。

资安厂商Malwarebytes的ThreatDown 代管侦测与回应（Managed Detection and Response，MDR）小组发现，RansomHub最近袭击其用户时，一开始先以管理员群组枚举（admin group enumeration）手法进行侦察及网络探索，以找寻可下手目标，接着就用上了合法工具进行非法行为。TDSSKiller是被黑客恶意使用的合法工具之一。另一个是知名开源密码与凭证回复工具，名为LaZagne。

TDSSKiller是卡巴斯基的rootkit程序移除工具，但研究人员发现，RansomHub黑客企图利用指令行脚本程序或批量档关闭端点侦测与回应（EDR）软件工具，包括Malwarebytes杀毒工具（MBAMService）。

等用户桌机被关闭EDR防护后，RansomHub黑客就利用LaZagne，从受害者系统中汲取存储的密码和凭证。LaZagne可从多个应用，包括浏览器、电子邮件用户端、数据库等搜集登录信息，让黑客更容易在受害者网络内横向移动。其中又以数据库凭证为最主要目标。受害系统会出现TDSSKiller.exe以及LaZagne.exe 二个文件。

为防范勒索软件使用这二工具攻击，研究人员建议监控和小心TDSSKiller等处于灰色地带的软件或驱动程序，必要时隔离或完全封锁。此外研究人员建议，利用网络区隔法切断横向移动，防范取得权限的黑客在网络上的设备窃取敏感数据。

RansomHub是新兴软件黑客组织，根据估计，今年2月才现身的RansomHub，截至8月就已成功攻击了至少210家受害者。受害企业包括美国医疗保健科技业者Change Healthcare、英国精品拍卖业者佳士得（Christie's）、台湾电脑制造商蓝天（Clevo）等。