{"id":277687,"date":"2023-10-21T09:45:00","date_gmt":"2023-10-21T06:45:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=277687"},"modified":"2025-03-14T09:19:50","modified_gmt":"2025-03-14T06:19:50","slug":"lockbit-ransomware-sfrutta-windows-defender-per-caricare-cobalt-strike","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/it\/lockbit-ransomware-sfrutta-windows-defender-per-caricare-cobalt-strike\/","title":{"rendered":"LockBit Ransomware sfrutta Windows Defender per caricare Cobalt Strike"},"content":{"rendered":"\n

Un tipo di ransomware noto come "LockBit 3.0" viene utilizzato per distribuire i payload di Cobalt Strike tramite lo strumento della riga di comando di Windows Defender.<\/p>\n

Un attore malintenzionato sta utilizzando un ceppo di ransomware noto come LockBit 3.0 per sfruttare lo strumento della riga di comando di Windows Defender. I carichi utili di Cobalt Strike Beacon vengono distribuiti nel processo.<\/p>\n

Gli utenti Windows sono a rischio di attacchi ransomware<\/h2>\n

La societ\u00e0 di sicurezza informatica SentinelOne ha segnalato un nuovo attore di minacce che sta utilizzando il ransomware LockBit 3.0 (noto anche come LockBit Black) per abusare del file MpCmdRun.exe, un’utilit\u00e0 della riga di comando che costituisce parte integrante del sistema di sicurezza di Windows. MpCmdRun.exe pu\u00f2 eseguire la scansione del malware, quindi non sorprende che sia preso di mira in questo attacco.<\/p>\n

LockBit 3.0 \u00e8 una nuova iterazione di malware che fa parte della nota famiglia LockBit ransomware-as-a-service (RaaS)<\/a>, che offre strumenti ransomware ai clienti paganti.<\/p>\n

LockBit 3.0 viene utilizzato per distribuire payload Cobalt Strike post-sfruttamento, che possono portare al furto di dati. Cobalt Strike pu\u00f2 anche aggirare il rilevamento del software di sicurezza, rendendo pi\u00f9 facile per l’attore malintenzionato accedere e crittografare le informazioni sensibili sul dispositivo della vittima.<\/p>\n

In questa tecnica di caricamento laterale, l’utilit\u00e0 di Windows Defender viene anche indotta a assegnare la priorit\u00e0 e caricare una DLL (libreria di collegamento dinamico)<\/a> dannosa, che pu\u00f2 quindi decrittografare il payload di Cobalt Strike tramite un file .log.<\/p>\n

LockBit \u00e8 gi\u00e0 stato utilizzato per abusare della riga di comando di VMWare<\/h2>\n

In passato, \u00e8 stato anche scoperto che gli attori di LockBit 3.0 hanno sfruttato un file eseguibile della riga di comando VMWare, noto come VMwareXferlogs.exe, per distribuire i beacon Cobalt Strike. In questa tecnica di caricamento laterale della DLL, l’attaccante ha sfruttato la vulnerabilit\u00e0 di Log4Shell e ha indotto l’utilit\u00e0 VMWare a caricare una DLL dannosa invece della DLL originale e innocua.<\/p>\n

\"LockBit<\/a><\/p>\n

Inoltre, non \u00e8 noto il motivo per cui la parte malintenzionata ha iniziato a sfruttare Windows Defender invece di VMWare al momento della scrittura.<\/p>\n

SentinelOne segnala che VMWare e Windows Defender sono ad alto rischio<\/h2>\n

Nel post<\/a> sul blog di SentinelOne sugli attacchi LockBit 3.0, \u00e8 stato affermato che "VMware e Windows Defender hanno un’elevata prevalenza nell’azienda e un’elevata utilit\u00e0 per gli attori delle minacce se sono autorizzati a operare al di fuori dei controlli di sicurezza installati".<\/p>\n

Attacchi di questo tipo, in cui le misure di sicurezza vengono eluse, stanno diventando sempre pi\u00f9 comuni, poich\u00e9 VMWare e Windows Defender sono diventati obiettivi chiave in tali iniziative.<\/p>\n

Gli attacchi LockBit non mostrano segni di arresto<\/h2>\n

Sebbene questa nuova ondata di attacchi sia stata riconosciuta da varie societ\u00e0 di sicurezza informatica, le tecniche di vita fuori dalla terra sono ancora utilizzate continuamente per sfruttare strumenti di utilit\u00e0 e distribuire file dannosi per il furto di dati. Non \u00e8 noto se in futuro verranno utilizzati ancora pi\u00f9 strumenti di utilit\u00e0 utilizzando LockBit 3.0 o qualsiasi altra iterazione della famiglia LockBit RaaS.<\/p>\n

Fonte di registrazione: www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

Un tipo di ransomware noto come “LockBit 3.0” viene utilizzato per distribuire i payload di Cobalt Strike tramite lo strumento della riga di comando di Windows Defender.<\/p>\n","protected":false},"author":1,"featured_media":164019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[1165],"tags":[3059],"class_list":["post-277687","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza","tag-affiai-it"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/posts\/277687","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/comments?post=277687"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/posts\/277687\/revisions"}],"predecessor-version":[{"id":306360,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/posts\/277687\/revisions\/306360"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/media\/164019"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/media?parent=277687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/categories?post=277687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/it\/wp-json\/wp\/v2\/tags?post=277687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}