Zákeřný hráč používá kmen ransomwaru známý jako LockBit 3.0 ke zneužití nástroje příkazového řádku Windows Defender. V procesu jsou nasazovány užitečné zátěže Cobalt Strike Beacon.
Uživatelé Windows jsou ohroženi ransomwarovými útoky
Společnost pro kybernetickou bezpečnost SentinelOne oznámila nového aktéra ohrožení, který používá LockBit 3.0 (také známý jako LockBit Black) ransomware ke zneužití souboru MpCmdRun.exe, nástroje příkazového řádku, který tvoří nedílnou součást zabezpečení Windows Systém. MpCmdRun.exe může vyhledávat malware, takže není překvapením, že je cílem tohoto útoku.
LockBit 3.0 je nová iterace malwaru, která tvoří součást známého LockBit ransomware-as-a-service (RaaS) rodina, která nabízí ransomwarové nástroje platícím zákazníkům.
LockBit 3.0 se používá k nasazení užitečného zatížení Cobalt Strike po exploataci, což může vést ke krádeži dat. Cobalt Strike také dokáže obejít detekci bezpečnostního softwaru, a tak usnadnit útočníkovi přístup k citlivým informacím na zařízení oběti a jejich šifrování.
V této technice bočního načítání je nástroj Windows Defender také oklamán, aby upřednostnil a načetl škodlivý DLL (dynamická knihovna), který pak může dešifrovat obsah Cobalt Strike prostřednictvím souboru .log.
LockBit již byl použit ke zneužití příkazového řádku VMWare
V minulosti bylo také zjištěno, že aktéři LockBit 3.0 zneužili spustitelný soubor příkazového řádku VMWare, známý jako VMwareXferlogs.exe, k nasazení majáků Cobalt Strike. V této technice bočního načítání DLL útočník zneužil zranitelnost Log4Shell a oklamal obslužný program VMWare, aby nahrál škodlivou knihovnu DLL namísto původní, neškodné knihovny DLL.
Není také známo, proč zákeřná strana začala v době psaní tohoto článku využívat Windows Defender místo VMWare.
SentinelOne hlásí, že VMWare a Windows Defender jsou vysoce rizikové
v Blogový příspěvek SentinelOne o útocích LockBit 3.0 bylo uvedeno, že „VMware a Windows Defender mají vysokou prevalenci podnik a vysoký nástroj pro ohrožení aktérů, pokud jim bude povoleno pracovat mimo instalované zabezpečení řízení".
Útoky tohoto druhu, kdy se vyhýbají bezpečnostním opatřením, jsou stále běžnější, přičemž klíčovými cíli v těchto podnicích se staly VMWare a Windows Defender.
Útoky LockBit nevykazují žádné známky zastavení
Ačkoli tuto novou vlnu útoků uznaly různé společnosti zabývající se kybernetickou bezpečností, které žijí mimo zemi Techniky se stále používají ke zneužívání nástrojů a nasazování škodlivých souborů pro data krádež. Není známo, zda bude v budoucnu zneužito ještě více obslužných nástrojů pomocí LockBit 3.0 nebo jakékoli jiné iterace rodiny LockBit RaaS.
