{"id":278925,"date":"2023-10-21T09:38:00","date_gmt":"2023-10-21T06:38:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=278925"},"modified":"2025-03-14T15:05:56","modified_gmt":"2025-03-14T12:05:56","slug":"lockbit-ransomware-aprovecha-windows-defender-para-cargar-cobalt-strike","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/es\/lockbit-ransomware-aprovecha-windows-defender-para-cargar-cobalt-strike\/","title":{"rendered":"LockBit Ransomware aprovecha Windows Defender para cargar Cobalt Strike"},"content":{"rendered":"\n<p>Se utiliza un tipo de ransomware conocido como &quot;LockBit 3.0&quot; para implementar cargas \u00fatiles de Cobalt Strike a trav\u00e9s de la herramienta de l\u00ednea de comandos de Windows Defender.<\/p>\n<p>Un actor malicioso est\u00e1 utilizando una variedad de ransomware conocida como LockBit 3.0 para explotar la herramienta de l\u00ednea de comandos de Windows Defender. Las cargas \u00fatiles de Cobalt Strike Beacon se est\u00e1n implementando en el proceso.<\/p>\n<h2>Los usuarios de Windows corren el riesgo de sufrir ataques de ransomware<\/h2>\n<p>La firma de seguridad cibern\u00e9tica SentinelOne ha informado sobre un nuevo actor de amenazas que est\u00e1 utilizando el ransomware LockBit 3.0 (tambi\u00e9n conocido como LockBit Black) para abusar del archivo MpCmdRun.exe, una utilidad de l\u00ednea de comandos que forma parte integral del sistema de seguridad de Windows. MpCmdRun.exe puede buscar malware, por lo que no sorprende que sea el objetivo de este ataque.<\/p>\n<p>LockBit 3.0 es una nueva iteraci\u00f3n de malware que forma parte de la conocida familia <a href=\"https:\/\/www.makeuseof.com\/what-is-ransomware-as-a-service\/\" target=\"_blank\" rel=\"noopener nofollow\" class=\"external external_icon\">de ransomware como servicio (RaaS) LockBit<\/a>, que ofrece herramientas de ransomware a los clientes que pagan.<\/p>\n<p>LockBit 3.0 se est\u00e1 utilizando para implementar cargas \u00fatiles de Cobalt Strike posteriores a la explotaci\u00f3n, lo que puede provocar el robo de datos. Cobalt Strike tambi\u00e9n puede eludir la detecci\u00f3n del software de seguridad, lo que facilita que el actor malintencionado acceda y cifre informaci\u00f3n confidencial en el dispositivo de la v\u00edctima.<\/p>\n<p>En esta t\u00e9cnica de carga lateral, la utilidad Windows Defender tambi\u00e9n est\u00e1 siendo enga\u00f1ada para priorizar y cargar una <a href=\"https:\/\/www.makeuseof.com\/what-are-dll-files-on-windows\/\" target=\"_blank\" rel=\"noopener nofollow\" class=\"external external_icon\">DLL (biblioteca de enlaces din\u00e1micos)<\/a> maliciosa, que luego puede descifrar la carga \u00fatil de Cobalt Strike a trav\u00e9s de un archivo .log.<\/p>\n<h2>LockBit ya se ha utilizado para abusar de la l\u00ednea de comandos de VMWare<\/h2>\n<p>En el pasado, tambi\u00e9n se descubri\u00f3 que los actores de LockBit 3.0 explotaron un archivo ejecutable de l\u00ednea de comandos de VMWare, conocido como VMwareXferlogs.exe, para implementar balizas Cobalt Strike. En esta t\u00e9cnica de carga lateral de DLL, el atacante explot\u00f3 la vulnerabilidad de Log4Shell y enga\u00f1\u00f3 a la utilidad VMWare para que cargara una DLL maliciosa en lugar de la DLL original e inofensiva.<\/p>\n<p><a href=\"https:\/\/howto.mediadoma.com\/wp-content\/uploads\/2022\/10\/post-164018-633f6a8ce3c49.jpg\" data-rel=\"lightbox\"><img decoding=\"async\" class=\"SDStudio-light-box-enable SDStudio-editor-tools-md-imp\" src=\"https:\/\/howto.mediadoma.com\/wp-content\/uploads\/2022\/10\/post-164018-633f6a8ce3c49.jpg\" alt=\"LockBit Ransomware aprovecha Windows Defender para cargar Cobalt Strike\" ><\/a><\/p>\n<p>Tampoco se sabe por qu\u00e9 la parte malintencionada comenz\u00f3 a explotar Windows Defender en lugar de VMWare en el momento de escribir este art\u00edculo.<\/p>\n<h2>SentinelOne informa que VMWare y Windows Defender son de alto riesgo<\/h2>\n<p>En <a href=\"https:\/\/www.sentinelone.com\/blog\/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool\/\" target=\"_blank\" rel=\"noopener nofollow\" class=\"external external_icon\">la publicaci\u00f3n de blog de SentinelOne<\/a> sobre los ataques de LockBit 3.0, se afirm\u00f3 que &quot;VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de amenazas si se les permite operar fuera de los controles de seguridad instalados&quot;.<\/p>\n<p>Los ataques de esta naturaleza, en los que se eluden las medidas de seguridad, son cada vez m\u00e1s comunes, y VMWare y Windows Defender se han convertido en objetivos clave en tales empresas.<\/p>\n<h2>Los ataques de LockBit no muestran signos de detenerse<\/h2>\n<p>Aunque esta nueva ola de ataques ha sido reconocida por varias compa\u00f1\u00edas de seguridad cibern\u00e9tica, las t\u00e9cnicas de vivir de la tierra todav\u00eda se usan continuamente para explotar herramientas de servicios p\u00fablicos e implementar archivos maliciosos para el robo de datos. No se sabe si se abusar\u00e1 de m\u00e1s herramientas de utilidad en el futuro utilizando LockBit 3.0 o cualquier otra iteraci\u00f3n de la familia LockBit RaaS.<\/p>\n<p><div id=\"PostUnique_PostSource\" style=\"padding-top: 50px\">Fuente de grabaci\u00f3n:  <a target=\"_blank\" rel=\"noopener nofollow\" href=\"\/\/www.makeuseof.com\" class=\"external external_icon\">www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se utiliza un tipo de ransomware conocido como \u00abLockBit 3.0\u00bb para implementar cargas \u00fatiles de Cobalt Strike a trav\u00e9s de la herramienta de l\u00ednea de comandos de Windows Defender.<\/p>\n","protected":false},"author":1,"featured_media":164019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[1001],"tags":[3062],"class_list":["post-278925","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-affiai-es"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/posts\/278925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/comments?post=278925"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/posts\/278925\/revisions"}],"predecessor-version":[{"id":309665,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/posts\/278925\/revisions\/309665"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/media\/164019"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/media?parent=278925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/categories?post=278925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/es\/wp-json\/wp\/v2\/tags?post=278925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}