El malware conocido como LockBit 3.0 se aprovecha de la CLI de Windows Defender. Se están desplegando payloads para Cobalt Strike Beacon.
Los usuarios de Windows corren el riesgo de ser infectados con el ransomware
SentinelOne ha descubierto un nuevo actor de amenazas que está abusando de la aplicación de línea de comandos de Windows Security conocida como MpCmdRun.exe utilizando el ransomware LockBit 3.0, que también se conoce como LockBit Black. Dado que MpCmdRun.exe es capaz de realizar escaneos de malware, este ataque tiene mucho sentido.LockBit 3.0 es la última edición de la plataforma de ransomware como servicio (RaaS), que proporciona herramientas de ransomware a los usuarios que pagan por ellas.
Tras su explotación, LockBit 3.0 liberará las cargas útiles de robo de datos del módulo Cobalt Strike. Al ser capaz de evitar la detección por parte del software de seguridad, Cobalt Strike facilita a los actores maliciosos el acceso a los datos de las víctimas y su cifrado.
La técnica de carga lateral consiste en engañar a Windows Defender para que instale una DLL maliciosa. Esta DLL descifra entonces la carga útil de Cobalt Strike mediante un archivo .log.
LockBit ha abusado de la línea de comandos de VMWare (VMCL)
Las primeras instancias de los actores de LockBit 3.0 que utilizaban VMwareXferlogs.exe permitían el despliegue del Cobalt Strike Beacon. El atacante aprovechó una vulnerabilidad en Log4Shell para cargar lateralmente una DLL maliciosa en lugar de la DLL legítima que se cargó originalmente.También es un misterio por qué la parte mala está apuntando sus ataques contra Windows Defender en lugar de VMWare.
Según SentinelOne, tanto VMWare como Windows Defender representan una amenaza importante
En una entrada de blog titulada “Ataques LockBit 3.0”, publicada por SentinelOne, se decía que:“VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de las amenazas si se les permite operar fuera de las protecciones de seguridad existentes”. Los ataques diseñados para burlar las medidas de seguridad se han dirigido a VMWare y Windows Defender.
Los ataques que utiliza LockBit no han parado
Se están utilizando estrategias para abusar de programas de utilidad y difundir archivos dañinos con el fin de robar datos, a pesar de que los grupos de ciberseguridad han reconocido la existencia de estas estrategias.En este momento no se sabe si LockBit 3.0 o las iteraciones posteriores de LockBit RaaS serán objeto de abusos en el futuro.
Te puede interesar...
Tesla publica el informe de seguridad de 2019 Q1: aumenta el número de accidentes con Autopilot, pero sigue siendo más seguro
YouTube ya tiene su primer vídeo con más de 10.000 millones de visitas
Ferrari tendrá su primer coche totalmente eléctrico en 2025
Razer lanza el primer portátil con pantalla OLED de 240Hz
El coronavirus y la guerra de los medios de comunicación - P.D. Dais asco
Taiwán controla casi la mitad de la capacidad mundial la fabricación de procesadores mientras otros países se preocupan
AMD identifica y soluciona el problema de conectividad USB entre plataformas con una actualización de AGESA
Tesla ha lanzado la actualización Full Self-Driving beta 9 que permite el Autopilot en carreteras locales
Fuente: este post proviene de WikiVersus, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: