Alt for å jobbe med Windows - det beste operativsystemet fra Microsoft. Vi dekker alt fra Windows 10 Insider -programmet til Windows 11. Gir deg alle de siste nyhetene om Windows 10 og mer.


sikkerhet

LockBit Ransomware utnytter Windows Defender for å laste Cobalt Strike

12
Innhold
Windows-brukere står i fare for ransomware-angrep
LockBit har allerede blitt brukt til å misbruke VMWare-kommandolinjen
SentinelOne rapporterer at VMWare og Windows Defender er høyrisiko
LockBit-angrep viser ingen tegn til å stoppe

En type løsepengevare kjent som "LockBit 3.0" brukes til å distribuere Cobalt Strike-nyttelaster via Windows Defender-kommandolinjeverktøyet.

En ondsinnet aktør bruker en ransomware-stamme kjent som LockBit 3.0 for å utnytte kommandolinjeverktøyet Windows Defender. Cobalt Strike Beacon-nyttelaster blir distribuert i prosessen.

Windows-brukere står i fare for ransomware-angrep

Cybersikkerhetsfirmaet SentinelOne har rapportert om en ny trusselaktør som bruker LockBit 3.0 (også kjent som LockBit Black) løsepengeprogramvare for å misbruke MpCmdRun.exe-filen, et kommandolinjeverktøy som utgjør en integrert del av Windows-sikkerhetssystemet. MpCmdRun.exe kan skanne etter skadelig programvare, så det er ingen overraskelse at den blir målrettet i dette angrepet.

LockBit 3.0 er en ny malware-iterasjon som inngår i den velkjente LockBit ransomware-as-a-service (RaaS) -familien, som tilbyr løsepengeverktøy til betalende kunder.

LockBit 3.0 brukes til å distribuere Cobalt Strike-nyttelast etter utnyttelse, noe som kan føre til datatyveri. Cobalt Strike kan også omgå deteksjon av sikkerhetsprogramvare, noe som gjør det enklere for den ondsinnede aktøren å få tilgang til og kryptere sensitiv informasjon på et offers enhet.

I denne sidelastingsteknikken blir også Windows Defender-verktøyet lurt til å prioritere og laste inn en ondsinnet DLL (dynamic-link library), som deretter kan dekryptere Cobalt Strike-nyttelasten via en .log-fil.

LockBit har allerede blitt brukt til å misbruke VMWare-kommandolinjen

Tidligere ble det også funnet at LockBit 3.0-aktører hadde utnyttet en kjørbar VMWare-kommandolinjefil, kjent som VMwareXferlogs.exe, for å distribuere Cobalt Strike-beacons. I denne DLL-sideinnlastingsteknikken utnyttet angriperen Log4Shell-sårbarheten og lurte VMWare-verktøyet til å laste en ondsinnet DLL i stedet for den originale, harmløse DLL-filen.

LockBit Ransomware utnytter Windows Defender for å laste Cobalt Strike

Det er heller ikke kjent hvorfor den ondsinnede parten har begynt å utnytte Windows Defender i stedet for VMWare i skrivende stund.

SentinelOne rapporterer at VMWare og Windows Defender er høyrisiko

I SentinelOnes blogginnlegg om LockBit 3.0-angrepene ble det uttalt at "VMware og Windows Defender har en høy utbredelse i bedriften og en høy nytteverdi for trusselaktører hvis de får lov til å operere utenfor de installerte sikkerhetskontrollene".

Angrep av denne art, der sikkerhetstiltak unngås, blir stadig mer vanlig, med VMWare og Windows Defender som har blitt gjort til nøkkelmål i slike satsinger.

LockBit-angrep viser ingen tegn til å stoppe

Selv om denne nye bølgen av angrep har blitt anerkjent av forskjellige cybersikkerhetsselskaper, blir teknikker som lever utenfor landet fortsatt brukt til å utnytte verktøy og distribuere ondsinnede filer for datatyveri. Det er ikke kjent om enda flere verktøy vil bli misbrukt i fremtiden ved å bruke LockBit 3.0, eller noen annen iterasjon av LockBit RaaS-familien.

Opptakskilde: www.makeuseof.com
Kan hende du også liker Mer fra forfatteren

Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse. Vi antar at du er ok med dette, men du kan velge bort det hvis du ønsker det. jeg aksepterer Mer informasjon