LockBit Ransomware sfrutta Windows Defender per caricare Cobalt Strike

Un tipo di ransomware noto come "LockBit 3.0" viene utilizzato per distribuire i payload di Cobalt Strike tramite lo strumento della riga di comando di Windows Defender.

Un attore malintenzionato sta utilizzando un ceppo di ransomware noto come LockBit 3.0 per sfruttare lo strumento della riga di comando di Windows Defender. I carichi utili di Cobalt Strike Beacon vengono distribuiti nel processo.

Gli utenti Windows sono a rischio di attacchi ransomware

La società di sicurezza informatica SentinelOne ha segnalato un nuovo attore di minacce che sta utilizzando il ransomware LockBit 3.0 (noto anche come LockBit Black) per abusare del file MpCmdRun.exe, un’utilità della riga di comando che costituisce parte integrante del sistema di sicurezza di Windows. MpCmdRun.exe può eseguire la scansione del malware, quindi non sorprende che sia preso di mira in questo attacco.

LockBit 3.0 è una nuova iterazione di malware che fa parte della nota famiglia LockBit ransomware-as-a-service (RaaS), che offre strumenti ransomware ai clienti paganti.

LockBit 3.0 viene utilizzato per distribuire payload Cobalt Strike post-sfruttamento, che possono portare al furto di dati. Cobalt Strike può anche aggirare il rilevamento del software di sicurezza, rendendo più facile per l’attore malintenzionato accedere e crittografare le informazioni sensibili sul dispositivo della vittima.

In questa tecnica di caricamento laterale, l’utilità di Windows Defender viene anche indotta a assegnare la priorità e caricare una DLL (libreria di collegamento dinamico) dannosa, che può quindi decrittografare il payload di Cobalt Strike tramite un file .log.

LockBit è già stato utilizzato per abusare della riga di comando di VMWare

In passato, è stato anche scoperto che gli attori di LockBit 3.0 hanno sfruttato un file eseguibile della riga di comando VMWare, noto come VMwareXferlogs.exe, per distribuire i beacon Cobalt Strike. In questa tecnica di caricamento laterale della DLL, l’attaccante ha sfruttato la vulnerabilità di Log4Shell e ha indotto l’utilità VMWare a caricare una DLL dannosa invece della DLL originale e innocua.

Inoltre, non è noto il motivo per cui la parte malintenzionata ha iniziato a sfruttare Windows Defender invece di VMWare al momento della scrittura.

SentinelOne segnala che VMWare e Windows Defender sono ad alto rischio

Nel post sul blog di SentinelOne sugli attacchi LockBit 3.0, è stato affermato che "VMware e Windows Defender hanno un’elevata prevalenza nell’azienda e un’elevata utilità per gli attori delle minacce se sono autorizzati a operare al di fuori dei controlli di sicurezza installati".

Attacchi di questo tipo, in cui le misure di sicurezza vengono eluse, stanno diventando sempre più comuni, poiché VMWare e Windows Defender sono diventati obiettivi chiave in tali iniziative.

Gli attacchi LockBit non mostrano segni di arresto

Sebbene questa nuova ondata di attacchi sia stata riconosciuta da varie società di sicurezza informatica, le tecniche di vita fuori dalla terra sono ancora utilizzate continuamente per sfruttare strumenti di utilità e distribuire file dannosi per il furto di dati. Non è noto se in futuro verranno utilizzati ancora più strumenti di utilità utilizzando LockBit 3.0 o qualsiasi altra iterazione della famiglia LockBit RaaS.