LockBit aprovecha Windows Defender para cargar Cobalt Strike

Rubén Castro, 3 agosto 2022

Está de oferta el purificador de aire Proscenic A8SE por solo 51 euros!!! No te lo pierdas...

Ver oferta

El malware conocido como LockBit 3.0 se aprovecha de la CLI de Windows Defender. Se están desplegando payloads para Cobalt Strike Beacon.

Los usuarios de Windows corren el riesgo de ser infectados con el ransomware

SentinelOne ha descubierto un nuevo actor de amenazas que está abusando de la aplicación de línea de comandos de Windows Security conocida como MpCmdRun.exe utilizando el ransomware LockBit 3.0, que también se conoce como LockBit Black. Dado que MpCmdRun.exe es capaz de realizar escaneos de malware, este ataque tiene mucho sentido.

LockBit 3.0 es la última edición de la plataforma de ransomware como servicio (RaaS), que proporciona herramientas de ransomware a los usuarios que pagan por ellas.

Tras su explotación, LockBit 3.0 liberará las cargas útiles de robo de datos del módulo Cobalt Strike. Al ser capaz de evitar la detección por parte del software de seguridad, Cobalt Strike facilita a los actores maliciosos el acceso a los datos de las víctimas y su cifrado.

La técnica de carga lateral consiste en engañar a Windows Defender para que instale una DLL maliciosa. Esta DLL descifra entonces la carga útil de Cobalt Strike mediante un archivo .log.

LockBit ha abusado de la línea de comandos de VMWare (VMCL)

Las primeras instancias de los actores de LockBit 3.0 que utilizaban VMwareXferlogs.exe permitían el despliegue del Cobalt Strike Beacon. El atacante aprovechó una vulnerabilidad en Log4Shell para cargar lateralmente una DLL maliciosa en lugar de la DLL legítima que se cargó originalmente.

También es un misterio por qué la parte mala está apuntando sus ataques contra Windows Defender en lugar de VMWare.

Según SentinelOne, tanto VMWare como Windows Defender representan una amenaza importante

En una entrada de blog titulada “Ataques LockBit 3.0”, publicada por SentinelOne, se decía que:

“VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de las amenazas si se les permite operar fuera de las protecciones de seguridad existentes”.

Los ataques diseñados para burlar las medidas de seguridad se han dirigido a VMWare y Windows Defender.

Los ataques que utiliza LockBit no han parado

Se están utilizando estrategias para abusar de programas de utilidad y difundir archivos dañinos con el fin de robar datos, a pesar de que los grupos de ciberseguridad han reconocido la existencia de estas estrategias.

En este momento no se sabe si LockBit 3.0 o las iteraciones posteriores de LockBit RaaS serán objeto de abusos en el futuro.