lockbit-sfrutta-windows-defender-per-caricare-cobal-strike

LockBit sfrutta Windows Defender per caricare Cobal Strike

Un attore malintenzionato sta utilizzando un tipo di ransomware noto come “LockBit 3.0″ è utilizzato per distribuire i payload Cobalt Strike. Questo tramite lo strumento a riga di comando di Windows Defender.

Gli utenti di Windows sono a rischio di attacchi ransomware

La società di sicurezza informatica SentinelOne ha segnalato un nuovo attore di minacce che utilizza il ransomware LockBit 3.0. È noto anche come LockBit Black e si usa per abusare del file MpCmdRun.exe, un’utility a riga di comando che costituisce parte integrante del sistema di sicurezza di Windows. MpCmdRun.exe è in grado di scansionare il malware, quindi non sorprende che sia stato preso di mira in questo attacco.

LockBit 3.0 è una nuova iterazione del malware che fa parte della nota famiglia di ransomware-as-a-service (RaaS) LockBit che offre strumenti ransomware ai clienti paganti.

LockBit 3.0 viene utilizzato per distribuire payload Cobalt Strike post-exploitation che possono portare al furto di dati. Cobalt Strike può anche aggirare il rilevamento del software di sicurezza, rendendo più facile per l’attore maligno accedere e criptare le informazioni sensibili sul dispositivo della vittima.

In questa tecnica di caricamento laterale, l’utilità Windows Defender viene anche ingannata nel dare priorità e caricare una DLL (dynamic-link library) dannosa, che può quindi decifrare il payload Cobalt Strike tramite un file .log.

LockBit: usato per abusare della riga di comando di VMWare

In passato, gli attori di LockBit 3.0 hanno sfruttato un file eseguibile della riga di comando di VMWare, noto come VMwareXferlogs.exe, per distribuire i beacon Cobalt Strike. In questa tecnica di caricamento laterale di DLL, l’aggressore ha sfruttato la vulnerabilità Log4Shell e ha indotto l’utility VMWare a caricare una DLL dannosa invece della DLL originale e innocua.

Al momento non è noto il motivo per cui il malintenzionato abbia iniziato a sfruttare Windows Defender invece di VMWare.

VMWare e Windows Defender sono ad alto rischio

“VMware e Windows Defender hanno un’alta prevalenza nelle aziende. Ma anche un’elevata utilità per gli attori delle minacce se si permette loro di operare al di fuori dei controlli di sicurezza installati”. È quanto si afferma nel post del blog di SentinelOne sugli attacchi LockBit 3.0.

Attacchi di questo tipo, in cui le misure di sicurezza sono eluse, stanno diventando sempre più comuni. VMWare e Windows Defender sono diventati bersagli chiave in queste imprese.

Gli attacchi LockBit non mostrano segni di arresto

Diverse aziende di cybersicurezza hanno riconosciuto questa nuova ondata di attacchi. Ciononostante. le tecniche di “living-off-the-land” sono ancora utilizzate per sfruttare gli strumenti di utilità e distribuire file dannosi per il furto di dati. 

Non è noto se in futuro verranno sfruttati altri strumenti di utilità utilizzando LockBit 3.0 o qualsiasi altra iterazione della famiglia LockBit RaaS.

Greta Kapllani

Sono una ragazza albanese con una forte passione per le lingue e ciò che la comunicazione può creare se usata in modo strategico. Nel tempo libero mi piace leggere e scrivere poesie in lingue diverse.

Scopri tutti gli articoli di Greta Kapllani

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.