LockBit Ransomware aprovecha Windows Defender para cargar Cobalt Strike

Se utiliza un tipo de ransomware conocido como "LockBit 3.0" para implementar cargas útiles de Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender.

Un actor malicioso está utilizando una variedad de ransomware conocida como LockBit 3.0 para explotar la herramienta de línea de comandos de Windows Defender. Las cargas útiles de Cobalt Strike Beacon se están implementando en el proceso.

Los usuarios de Windows corren el riesgo de sufrir ataques de ransomware

La firma de seguridad cibernética SentinelOne ha informado sobre un nuevo actor de amenazas que está utilizando el ransomware LockBit 3.0 (también conocido como LockBit Black) para abusar del archivo MpCmdRun.exe, una utilidad de línea de comandos que forma parte integral del sistema de seguridad de Windows. MpCmdRun.exe puede buscar malware, por lo que no sorprende que sea el objetivo de este ataque.

LockBit 3.0 es una nueva iteración de malware que forma parte de la conocida familia de ransomware como servicio (RaaS) LockBit, que ofrece herramientas de ransomware a los clientes que pagan.

LockBit 3.0 se está utilizando para implementar cargas útiles de Cobalt Strike posteriores a la explotación, lo que puede provocar el robo de datos. Cobalt Strike también puede eludir la detección del software de seguridad, lo que facilita que el actor malintencionado acceda y cifre información confidencial en el dispositivo de la víctima.

En esta técnica de carga lateral, la utilidad Windows Defender también está siendo engañada para priorizar y cargar una DLL (biblioteca de enlaces dinámicos) maliciosa, que luego puede descifrar la carga útil de Cobalt Strike a través de un archivo .log.

LockBit ya se ha utilizado para abusar de la línea de comandos de VMWare

En el pasado, también se descubrió que los actores de LockBit 3.0 explotaron un archivo ejecutable de línea de comandos de VMWare, conocido como VMwareXferlogs.exe, para implementar balizas Cobalt Strike. En esta técnica de carga lateral de DLL, el atacante explotó la vulnerabilidad de Log4Shell y engañó a la utilidad VMWare para que cargara una DLL maliciosa en lugar de la DLL original e inofensiva.

Tampoco se sabe por qué la parte malintencionada comenzó a explotar Windows Defender en lugar de VMWare en el momento de escribir este artículo.

SentinelOne informa que VMWare y Windows Defender son de alto riesgo

En la publicación de blog de SentinelOne sobre los ataques de LockBit 3.0, se afirmó que "VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de amenazas si se les permite operar fuera de los controles de seguridad instalados".

Los ataques de esta naturaleza, en los que se eluden las medidas de seguridad, son cada vez más comunes, y VMWare y Windows Defender se han convertido en objetivos clave en tales empresas.

Los ataques de LockBit no muestran signos de detenerse

Aunque esta nueva ola de ataques ha sido reconocida por varias compañías de seguridad cibernética, las técnicas de vivir de la tierra todavía se usan continuamente para explotar herramientas de servicios públicos e implementar archivos maliciosos para el robo de datos. No se sabe si se abusará de más herramientas de utilidad en el futuro utilizando LockBit 3.0 o cualquier otra iteración de la familia LockBit RaaS.