Um agente mal-intencionado está usando uma variedade de ransomware conhecida como LockBit 3.0 para explorar a ferramenta de linha de comando do Windows Defender. As cargas úteis do Cobalt Strike Beacon estão sendo implantadas no processo.
Usuários do Windows correm risco de ataques de ransomware
A empresa de segurança cibernética SentinelOne relatou um novo agente de ameaças que está usando o LockBit 3.0 (também conhecido como LockBit Black) ransomware para abusar do arquivo MpCmdRun.exe, um utilitário de linha de comando que faz parte integrante da Segurança do Windows sistema. O MpCmdRun.exe pode verificar se há malware, portanto, não é surpresa que ele esteja sendo alvo desse ataque.
LockBit 3.0 é uma nova iteração de malware que faz parte do conhecido LockBit ransomware como serviço (RaaS) family, que oferece ferramentas de ransomware para clientes pagantes.
O LockBit 3.0 está sendo usado para implantar cargas úteis de Cobalt Strike pós-exploração, o que pode levar ao roubo de dados. O Cobalt Strike também pode ignorar a detecção de software de segurança, tornando mais fácil para o agente mal-intencionado acessar e criptografar informações confidenciais no dispositivo da vítima.
Nesta técnica de carregamento lateral, o utilitário Windows Defender também está sendo induzido a priorizar e carregar um DLL (biblioteca de vínculo dinâmico), que pode então descriptografar a carga útil do Cobalt Strike por meio de um arquivo .log.
LockBit já foi usado para abusar da linha de comando VMWare
No passado, os atores do LockBit 3.0 também exploraram um arquivo executável de linha de comando VMWare, conhecido como VMwareXferlogs.exe, para implantar beacons Cobalt Strike. Nesta técnica de carregamento lateral de DLL, o invasor explorou a vulnerabilidade Log4Shell e enganou o utilitário VMWare para carregar uma DLL maliciosa em vez da DLL original e inofensiva.
Também não se sabe por que a parte mal-intencionada começou a explorar o Windows Defender em vez do VMWare no momento da redação.
SentinelOne relata que VMWare e Windows Defender são de alto risco
Dentro Post do blog do SentinelOne sobre os ataques LockBit 3.0, foi afirmado que "VMware e Windows Defender têm uma alta prevalência no empresa e uma grande utilidade para os agentes de ameaças se eles tiverem permissão para operar fora da segurança instalada controles".
Ataques dessa natureza, nos quais as medidas de segurança são evitadas, estão se tornando cada vez mais comuns, com o VMWare e o Windows Defender se tornando alvos principais desses empreendimentos.
Ataques LockBit não mostram sinais de interrupção
Embora essa nova onda de ataques tenha sido reconhecida por várias empresas de segurança cibernética, os que vivem fora da terra técnicas ainda estão sendo usadas continuamente para explorar ferramentas utilitárias e implantar arquivos maliciosos para dados roubo. Não se sabe se ainda mais ferramentas utilitárias serão abusadas no futuro usando o LockBit 3.0 ou qualquer outra iteração da família LockBit RaaS.