Allt för att arbeta med Windows - det bästa operativsystemet från Microsoft. Vi täcker allt från Windows 10 Insider -programmet till Windows 11. Ger dig alla de senaste nyheterna om Windows 10 och mer.


säkerhet

LockBit Ransomware utnyttjar Windows Defender för att ladda Cobalt Strike

19
Innehåll
Windows-användare löper risk för attacker med ransomware
LockBit har redan använts för att missbruka VMWare-kommandoraden
SentinelOne rapporterar att VMWare och Windows Defender är högrisk
LockBit-attacker visar inga tecken på att stoppa

En typ av ransomware känd som "LockBit 3.0" används för att distribuera Cobalt Strike-nyttolaster via kommandoradsverktyget Windows Defender.

En illvillig aktör använder en stam av ransomware som kallas LockBit 3.0 för att utnyttja kommandoradsverktyget Windows Defender. Cobalt Strike Beacon nyttolaster distribueras i processen.

Windows-användare löper risk för attacker med ransomware

Cybersäkerhetsföretaget SentinelOne har rapporterat en ny hotaktör som använder LockBit 3.0 (även känd som LockBit Black) ransomware för att missbruka filen MpCmdRun.exe, ett kommandoradsverktyg som utgör en integrerad del av Windows säkerhetssystem. MpCmdRun.exe kan söka efter skadlig programvara, så det är ingen överraskning att den är inriktad på den här attacken.

LockBit 3.0 är en ny skadlig iteration som ingår i den välkända LockBit ransomware-as-a-service (RaaS)-familjen, som erbjuder ransomware-verktyg till betalande kunder.

LockBit 3.0 används för att distribuera Cobalt Strike-nyttolaster efter exploateringen, vilket kan leda till datastöld. Cobalt Strike kan också kringgå upptäckt av säkerhetsprogramvara, vilket gör det lättare för den illvilliga aktören att komma åt och kryptera känslig information på ett offers enhet.

I denna sidladdningsteknik luras även Windows Defender-verktyget att prioritera och ladda en skadlig DLL (dynamic-link library), som sedan kan dekryptera Cobalt Strike-nyttolasten via en .log-fil.

LockBit har redan använts för att missbruka VMWare-kommandoraden

Tidigare visade sig LockBit 3.0-aktörer också ha utnyttjat en körbar VMWare-kommandoradsfil, känd som VMwareXferlogs.exe, för att distribuera Cobalt Strike-beacons. I denna teknik för sidladdning av DLL, utnyttjade angriparen Log4Shell-sårbarheten och lurade VMWare-verktyget att ladda en skadlig DLL istället för den ursprungliga, ofarliga DLL:n.

LockBit Ransomware utnyttjar Windows Defender för att ladda Cobalt Strike

Det är inte heller känt varför den skadliga parten har börjat utnyttja Windows Defender istället för VMWare i skrivande stund.

SentinelOne rapporterar att VMWare och Windows Defender är högrisk

I SentinelOnes blogginlägg om LockBit 3.0-attackerna stod det att "VMware och Windows Defender har en hög förekomst i företaget och en hög nytta för att hota aktörer om de tillåts arbeta utanför de installerade säkerhetskontrollerna".

Attacker av denna karaktär, där säkerhetsåtgärder kringgås, blir allt vanligare, med VMWare och Windows Defender som har gjorts till nyckelmål i sådana satsningar.

LockBit-attacker visar inga tecken på att stoppa

Även om den här nya vågen av attacker har erkänts av olika cybersäkerhetsföretag, används fortfarande tekniker som lever utanför landet för att utnyttja verktyg och distribuera skadliga filer för datastöld. Det är inte känt om ännu fler verktyg kommer att missbrukas i framtiden med LockBit 3.0, eller någon annan iteration av LockBit RaaS-familjen.

Inspelningskälla: www.makeuseof.com
Du kanske också gillar Mer från författaren

Denna webbplats använder cookies för att förbättra din upplevelse. Vi antar att du är ok med detta, men du kan välja bort det om du vill. Jag accepterar Fler detaljer