Los actores de LockBit usan la herramienta de línea de comandos de Windows Defender MpCmdRun.exe para infectar las PC con Cobalt Strike Beacon. Después de eso, se instalará el ransomware LockBit. Microsoft debería estar en alerta máxima si aún no lo está.
La empresa de investigación de seguridad cibernética SentinelOne ha publicado noticias: han descubierto que se está abusando de la solución antimalware interna de Microsoft para descargar Cobalt Strike Beacon en las PC y servidores de las víctimas. Los atacantes en este caso son operadores de ransomware como servicio (RaaS) de LockBit MpCmdRun.exe abusado para infectar las PC de las víctimas.
Abuso de la herramienta Microsoft Defender
En este punto, los atacantes explotan la vulnerabilidad Log4j para MpCmdRun.exe Descargue el archivo DLL "mpclient" infectado y el archivo de carga útil cifrado Cobalt Strike desde su servidor de comando y control. De esta forma, el sistema de la víctima queda específicamente infectado. A esto le sigue el proceso clásico: se utiliza el software de chantaje LockBit, se cifra el sistema y se muestra una demanda de rescate.
LockBit se desliza a través de la vulnerabilidad
LockBit ha estado recibiendo bastante atención últimamente. La semana pasada, SentinelLabs informó sobre LockBit 3.0 (también conocido como LockBit Black) y describió cómo la última versión de este RaaS cada vez más popular implementó un conjunto de rutinas antianálisis y antidepuración. La investigación fue seguida rápidamente por otras que informaron hallazgos similares. Mientras tanto, en abril, SentinelLabs informó cómo una subsidiaria de LockBit usó la utilidad de línea de comandos legítima de VMware, VMwareXferlogs.exe, en una implementación en vivo para descargar Cobalt Strike.
En un artículo detallado, SentinelOne muestra cómo Microsoft Defender, que en realidad es una herramienta legítima, está siendo mal utilizada por los atacantes.
Más en SentinelOne.com