Un actor rău intenționat folosește o tulpină de ransomware cunoscută sub numele de LockBit 3.0 pentru a exploata instrumentul de linie de comandă Windows Defender. În acest proces, încărcăturile utile Cobalt Strike Beacon sunt implementate.

Utilizatorii Windows sunt expuși riscului de atacuri ransomware

Firma de securitate cibernetică SentinelOne a raportat un nou actor de amenințare care utilizează LockBit 3.0 (cunoscut și sub numele de LockBit Black) ransomware pentru a abuza de fișierul MpCmdRun.exe, un utilitar de linie de comandă care face parte integrantă din Windows Security sistem. MpCmdRun.exe poate scana pentru malware, așa că nu este surprinzător că este vizat de acest atac.

LockBit 3.0 este o nouă iterație de malware care face parte din binecunoscutul LockBit ransomware-as-a-service (RaaS) familie, care oferă instrumente ransomware clienților plătitori.

LockBit 3.0 este folosit pentru a implementa încărcături utile Cobalt Strike post-exploatare, ceea ce poate duce la furtul de date. Cobalt Strike poate ocoli, de asemenea, detectarea software-ului de securitate, facilitând accesul și criptarea informațiilor sensibile de pe dispozitivul victimei.

În această tehnică de încărcare laterală, utilitarul Windows Defender este, de asemenea, păcălit să prioritizeze și să încarce un program rău intenționat. DLL (biblioteca de linkuri dinamice), care poate apoi decripta încărcătura utilă Cobalt Strike printr-un fișier .log.

LockBit a fost deja folosit pentru a abuza de linia de comandă VMWare

În trecut, s-a descoperit că actorii LockBit 3.0 au exploatat un fișier executabil în linia de comandă VMWare, cunoscut sub numele de VMwareXferlogs.exe, pentru a implementa semnalizatoarele Cobalt Strike. În această tehnică de încărcare laterală a DLL, atacatorul a exploatat vulnerabilitatea Log4Shell și a păcălit utilitarul VMWare să încarce un DLL rău intenționat în locul DLL-ului original, inofensiv.

De asemenea, nu se știe de ce partea rău intenționată a început să exploateze Windows Defender în loc de VMWare în momentul scrierii acestui articol.

SentinelOne raportează că VMWare și Windows Defender prezintă un risc ridicat

În Postarea pe blog a lui SentinelOne la atacurile LockBit 3.0, s-a afirmat că „VMware și Windows Defender au o prevalență ridicată în întreprindere și o mare utilitate pentru actorii amenințărilor dacă li se permite să opereze în afara securității instalate controale”.

Atacurile de această natură, în care măsurile de securitate sunt sustragete, devin din ce în ce mai frecvente, VMWare și Windows Defender fiind făcute ținte cheie în astfel de întreprinderi.

Atacurile LockBit nu arată semne de oprire

Deși acest nou val de atacuri a fost recunoscut de diferite companii de securitate cibernetică, trăiesc din pământ tehnicile sunt încă folosite în mod continuu pentru a exploata instrumentele utilitare și a implementa fișiere rău intenționate pentru date furt. Nu se știe dacă și mai multe instrumente utilitare vor fi abuzate în viitor folosind LockBit 3.0 sau orice altă iterație a familiei LockBit RaaS.