Un actor malicioso está utilizando una variedad de ransomware conocida como LockBit 3.0 para explotar la herramienta de línea de comandos de Windows Defender. Las cargas útiles de Cobalt Strike Beacon se están implementando en el proceso.
Los usuarios de Windows corren el riesgo de sufrir ataques de ransomware
La firma de ciberseguridad SentinelOne ha informado sobre un nuevo actor de amenazas que está utilizando LockBit 3.0 (también conocido como LockBit Black) ransomware para abusar del archivo MpCmdRun.exe, una utilidad de línea de comandos que forma parte integral de la Seguridad de Windows sistema. MpCmdRun.exe puede buscar malware, por lo que no sorprende que sea el objetivo de este ataque.
LockBit 3.0 es una nueva iteración de malware que forma parte del conocido LockBit ransomware como servicio (RaaS) family, que ofrece herramientas de ransomware a los clientes que pagan.
LockBit 3.0 se está utilizando para implementar cargas útiles de Cobalt Strike posteriores a la explotación, lo que puede provocar el robo de datos. Cobalt Strike también puede eludir la detección del software de seguridad, lo que facilita que el actor malintencionado acceda y cifre información confidencial en el dispositivo de la víctima.
En esta técnica de carga lateral, la utilidad Windows Defender también está siendo engañada para priorizar y cargar un archivo malicioso. DLL (biblioteca de enlaces dinámicos), que luego puede descifrar la carga útil de Cobalt Strike a través de un archivo .log.
LockBit ya se ha utilizado para abusar de la línea de comandos de VMWare
En el pasado, también se descubrió que los actores de LockBit 3.0 explotaron un archivo ejecutable de línea de comandos de VMWare, conocido como VMwareXferlogs.exe, para implementar balizas Cobalt Strike. En esta técnica de carga lateral de DLL, el atacante explotó la vulnerabilidad de Log4Shell y engañó a la utilidad VMWare para que cargara una DLL maliciosa en lugar de la DLL original e inofensiva.
Tampoco se sabe por qué la parte maliciosa ha comenzado a explotar Windows Defender en lugar de VMWare en el momento de escribir este artículo.
SentinelOne informa que VMWare y Windows Defender son de alto riesgo
En Publicación de blog de SentinelOne sobre los ataques de LockBit 3.0, se afirmó que "VMware y Windows Defender tienen una alta prevalencia en el empresa y una gran utilidad para los actores de amenazas si se les permite operar fuera de la seguridad instalada control S".
Los ataques de esta naturaleza, en los que se eluden las medidas de seguridad, son cada vez más comunes, y VMWare y Windows Defender se han convertido en objetivos clave en tales empresas.
Los ataques de LockBit no muestran signos de detenerse
Aunque esta nueva ola de ataques ha sido reconocida por varias empresas de ciberseguridad, living-off-the-land Las técnicas todavía se utilizan continuamente para explotar herramientas de utilidad e implementar archivos maliciosos para datos. robo. No se sabe si se abusará de más herramientas de utilidad en el futuro utilizando LockBit 3.0 o cualquier otra iteración de la familia LockBit RaaS.
