Tudo para trabalhar com Windows - o melhor sistema operacional da Microsoft. Cobrimos tudo, desde o Programa Insider do Windows 10 ao Windows 11. Fornece todas as notícias mais recentes sobre o Windows 10 e muito mais.


segurança

LockBit Ransomware explora o Windows Defender para carregar o Cobalt Strike

18
Contente
Usuários do Windows correm risco de ataques de ransomware
LockBit já foi usado para abusar da linha de comando VMWare
SentinelOne relata que VMWare e Windows Defender são de alto risco
Ataques LockBit não mostram sinais de interrupção

Um tipo de ransomware conhecido como "LockBit 3.0" está sendo usado para implantar cargas úteis do Cobalt Strike por meio da ferramenta de linha de comando do Windows Defender.

Um agente mal-intencionado está usando uma variedade de ransomware conhecida como LockBit 3.0 para explorar a ferramenta de linha de comando do Windows Defender. As cargas úteis do Cobalt Strike Beacon estão sendo implantadas no processo.

Usuários do Windows correm risco de ataques de ransomware

A empresa de segurança cibernética SentinelOne relatou um novo agente de ameaças que está usando o ransomware LockBit 3.0 (também conhecido como LockBit Black) para abusar do arquivo MpCmdRun.exe, um utilitário de linha de comando que faz parte integrante do sistema de segurança do Windows. O MpCmdRun.exe pode verificar se há malware, portanto, não é surpresa que ele esteja sendo alvo desse ataque.

O LockBit 3.0 é uma nova iteração de malware que faz parte da conhecida família LockBit ransomware-as-a-service (RaaS), que oferece ferramentas de ransomware para clientes pagantes.

O LockBit 3.0 está sendo usado para implantar cargas úteis de Cobalt Strike pós-exploração, o que pode levar ao roubo de dados. O Cobalt Strike também pode ignorar a detecção de software de segurança, tornando mais fácil para o agente mal-intencionado acessar e criptografar informações confidenciais no dispositivo da vítima.

Nesta técnica de carregamento lateral, o utilitário Windows Defender também está sendo induzido a priorizar e carregar uma DLL maliciosa (biblioteca de vínculo dinâmico), que pode então descriptografar a carga útil do Cobalt Strike por meio de um arquivo .log.

LockBit já foi usado para abusar da linha de comando VMWare

No passado, os atores do LockBit 3.0 também exploraram um arquivo executável de linha de comando VMWare, conhecido como VMwareXferlogs.exe, para implantar beacons Cobalt Strike. Nesta técnica de carregamento lateral de DLL, o invasor explorou a vulnerabilidade Log4Shell e enganou o utilitário VMWare para carregar uma DLL maliciosa em vez da DLL original e inofensiva.

LockBit Ransomware explora o Windows Defender para carregar o Cobalt Strike

Também não se sabe por que a parte mal-intencionada começou a explorar o Windows Defender em vez do VMWare no momento da redação.

SentinelOne relata que VMWare e Windows Defender são de alto risco

Na postagem do blog do SentinelOne sobre os ataques do LockBit 3.0, foi afirmado que "o VMware e o Windows Defender têm uma alta prevalência na empresa e uma alta utilidade para os agentes de ameaças se tiverem permissão para operar fora dos controles de segurança instalados".

Ataques dessa natureza, nos quais as medidas de segurança são evitadas, estão se tornando cada vez mais comuns, com o VMWare e o Windows Defender se tornando alvos principais desses empreendimentos.

Ataques LockBit não mostram sinais de interrupção

Embora essa nova onda de ataques tenha sido reconhecida por várias empresas de segurança cibernética, as técnicas de vida fora da terra ainda estão sendo usadas continuamente para explorar ferramentas utilitárias e implantar arquivos maliciosos para roubo de dados. Não se sabe se ainda mais ferramentas utilitárias serão abusadas no futuro usando o LockBit 3.0 ou qualquer outra iteração da família LockBit RaaS.

Fonte de gravação: www.makeuseof.com
você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação