{"id":278641,"date":"2023-10-21T10:24:00","date_gmt":"2023-10-21T07:24:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=278641"},"modified":"2025-03-14T10:24:01","modified_gmt":"2025-03-14T07:24:01","slug":"lockbit-ransomware-explora-o-windows-defender-para-carregar-o-cobalt-strike","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/pt-pt\/lockbit-ransomware-explora-o-windows-defender-para-carregar-o-cobalt-strike\/","title":{"rendered":"LockBit Ransomware explora o Windows Defender para carregar o Cobalt Strike"},"content":{"rendered":"\n<p>Um tipo de ransomware conhecido como &quot;LockBit 3.0&quot; est\u00e1 sendo usado para implantar cargas \u00fateis do Cobalt Strike por meio da ferramenta de linha de comando do Windows Defender.<\/p>\n<p>Um agente mal-intencionado est\u00e1 usando uma variedade de ransomware conhecida como LockBit 3.0 para explorar a ferramenta de linha de comando do Windows Defender. As cargas \u00fateis do Cobalt Strike Beacon est\u00e3o sendo implantadas no processo.<\/p>\n<h2>Usu\u00e1rios do Windows correm risco de ataques de ransomware<\/h2>\n<p>A empresa de seguran\u00e7a cibern\u00e9tica SentinelOne relatou um novo agente de amea\u00e7as que est\u00e1 usando o ransomware LockBit 3.0 (tamb\u00e9m conhecido como LockBit Black) para abusar do arquivo MpCmdRun.exe, um utilit\u00e1rio de linha de comando que faz parte integrante do sistema de seguran\u00e7a do Windows. O MpCmdRun.exe pode verificar se h\u00e1 malware, portanto, n\u00e3o \u00e9 surpresa que ele esteja sendo alvo desse ataque.<\/p>\n<p>O LockBit 3.0 \u00e9 uma nova itera\u00e7\u00e3o de malware que faz parte da conhecida fam\u00edlia LockBit <a href=\"https:\/\/www.makeuseof.com\/what-is-ransomware-as-a-service\/\" target=\"_blank\" rel=\"noopener nofollow\" class=\"external external_icon\">ransomware-as-a-service (RaaS)<\/a>, que oferece ferramentas de ransomware para clientes pagantes.<\/p>\n<p>O LockBit 3.0 est\u00e1 sendo usado para implantar cargas \u00fateis de Cobalt Strike p\u00f3s-explora\u00e7\u00e3o, o que pode levar ao roubo de dados. O Cobalt Strike tamb\u00e9m pode ignorar a detec\u00e7\u00e3o de software de seguran\u00e7a, tornando mais f\u00e1cil para o agente mal-intencionado acessar e criptografar informa\u00e7\u00f5es confidenciais no dispositivo da v\u00edtima.<\/p>\n<p>Nesta t\u00e9cnica de carregamento lateral, o utilit\u00e1rio Windows Defender tamb\u00e9m est\u00e1 sendo induzido a priorizar e carregar uma <a href=\"https:\/\/www.makeuseof.com\/what-are-dll-files-on-windows\/\" target=\"_blank\" rel=\"noopener nofollow\" class=\"external external_icon\">DLL maliciosa (biblioteca de v\u00ednculo din\u00e2mico)<\/a>, que pode ent\u00e3o descriptografar a carga \u00fatil do Cobalt Strike por meio de um arquivo .log.<\/p>\n<h2>LockBit j\u00e1 foi usado para abusar da linha de comando VMWare<\/h2>\n<p>No passado, os atores do LockBit 3.0 tamb\u00e9m exploraram um arquivo execut\u00e1vel de linha de comando VMWare, conhecido como VMwareXferlogs.exe, para implantar beacons Cobalt Strike. Nesta t\u00e9cnica de carregamento lateral de DLL, o invasor explorou a vulnerabilidade Log4Shell e enganou o utilit\u00e1rio VMWare para carregar uma DLL maliciosa em vez da DLL original e inofensiva.<\/p>\n<p><a href=\"https:\/\/howto.mediadoma.com\/wp-content\/uploads\/2022\/10\/post-164018-633f6a8ce3c49.jpg\" data-rel=\"lightbox\"><img decoding=\"async\" class=\"SDStudio-light-box-enable SDStudio-editor-tools-md-imp\" src=\"https:\/\/howto.mediadoma.com\/wp-content\/uploads\/2022\/10\/post-164018-633f6a8ce3c49.jpg\" alt=\"LockBit Ransomware explora o Windows Defender para carregar o Cobalt Strike\" ><\/a><\/p>\n<p>Tamb\u00e9m n\u00e3o se sabe por que a parte mal-intencionada come\u00e7ou a explorar o Windows Defender em vez do VMWare no momento da reda\u00e7\u00e3o.<\/p>\n<h2>SentinelOne relata que VMWare e Windows Defender s\u00e3o de alto risco<\/h2>\n<p>Na <a href=\"https:\/\/www.sentinelone.com\/blog\/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool\/\" target=\"_blank\" rel=\"noopener nofollow\" class=\"external external_icon\">postagem do blog do SentinelOne<\/a> sobre os ataques do LockBit 3.0, foi afirmado que &quot;o VMware e o Windows Defender t\u00eam uma alta preval\u00eancia na empresa e uma alta utilidade para os agentes de amea\u00e7as se tiverem permiss\u00e3o para operar fora dos controles de seguran\u00e7a instalados&quot;.<\/p>\n<p>Ataques dessa natureza, nos quais as medidas de seguran\u00e7a s\u00e3o evitadas, est\u00e3o se tornando cada vez mais comuns, com o VMWare e o Windows Defender se tornando alvos principais desses empreendimentos.<\/p>\n<h2>Ataques LockBit n\u00e3o mostram sinais de interrup\u00e7\u00e3o<\/h2>\n<p>Embora essa nova onda de ataques tenha sido reconhecida por v\u00e1rias empresas de seguran\u00e7a cibern\u00e9tica, as t\u00e9cnicas de vida fora da terra ainda est\u00e3o sendo usadas continuamente para explorar ferramentas utilit\u00e1rias e implantar arquivos maliciosos para roubo de dados. N\u00e3o se sabe se ainda mais ferramentas utilit\u00e1rias ser\u00e3o abusadas no futuro usando o LockBit 3.0 ou qualquer outra itera\u00e7\u00e3o da fam\u00edlia LockBit RaaS.<\/p>\n<p><div id=\"PostUnique_PostSource\" style=\"padding-top: 50px\">Fonte de grava\u00e7\u00e3o:  <a target=\"_blank\" rel=\"noopener nofollow\" href=\"\/\/www.makeuseof.com\" class=\"external external_icon\">www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um tipo de ransomware conhecido como &#8220;LockBit 3.0&#8221; est\u00e1 sendo usado para implantar cargas \u00fateis do Cobalt Strike por meio da ferramenta de linha de comando do Windows Defender.<\/p>\n","protected":false},"author":1,"featured_media":164019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[988],"tags":[3061],"class_list":["post-278641","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca","tag-affiai-pt-pt"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts\/278641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=278641"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts\/278641\/revisions"}],"predecessor-version":[{"id":306880,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts\/278641\/revisions\/306880"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/media\/164019"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=278641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/categories?post=278641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/tags?post=278641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}