Den velkendte LockBit ransomware har modtaget betydelige opdateringer, som det fremgår af rapporterne fra flere cybersikkerhedsleverandører.
Ny version af LockBit Observed in the Wild
Ifølge SentinelLabs, en ny iteration af ransomware er blevet implementeret i naturen. LockBit 3.0 eller LockBit Black er blevet udstyret med en række anti-analyse- og anti-debugging-rutiner, og evnen til at udnytte et andet legitimt værktøj – Windows Defender.
I april, SentinelLabs opdagede, at LockBit-operatører udnyttede det legitime VMware-kommandolinjeværktøj, VMwareXferlogs.exe, i et live engagement for at sideindlæse Cobalt Strike. "Under en nylig undersøgelse, vi fandt ud af, at trusselsaktører misbrugte Windows Defender-kommandolinjeværktøjet MpCmdRun.exe til at dekryptere og indlæse Cobalt Strike-nyttelast,” bemærkede SentinelOne.
I angrebet, Cobalt Strike blev indlæst fra en fjernserver og derefter dekrypteret og indlæst via Windows Defender kommandolinjeværktøj.
Hvorfor brugte cyberkriminelle disse legitime værktøjer? “Produkter som VMware og Windows Defender har en høj udbredelse i virksomheden og en høj nytteværdi for trusselsaktører, hvis de får lov til at operere uden for de installerede sikkerhedskontroller,” rapporten tilføjet.
Et andet væsentligt angreb tilskrevet LockBit er angrebet mod Accenture, et globalt virksomhedskonsulentfirma. Som sådan, Accentures kunder inkluderer 91 navne på Fortune Global 100, og mindst tre fjerdedele af Fortune Global 500. Nogle af dets kunder er Alibaba, Google og Cisco.
Cobalt Strike droppet af flere trusselsaktører
Tidligere i år, i maj, sikkerhedseksperter opdagede en "mystisk" ondsindet Python-pakkee, der downloadede Cobalt Strike malware på Windows, Linux, og macOS-systemer. Kaldes "pymafka,” pakken udgiver sig som det legitime populære bibliotek PyKafka, en programmørvenlig Kafka-klient til Python. Ifølge Sonatype-forskere, den ondsindede pakke er blevet downloadet ca 300 gange.
Et andet eksempel på et malwareværktøj, der bruges af flere cyberkriminelle, er Humlebi. På grund af de særlige forhold ved malware-kampagnerne, sikkerhedsforskere mener, at trusselsaktørerne bag sådanne operationer er indledende adgangsmæglere. Indledende netadgang er det, der får ondsindede hackere inde i en organisations netværk. Trusselaktører, der sælger det, skaber en bro mellem opportunistiske kampagner og målrettede angribere. I de fleste tilfælde, disse er ransomware-operatører.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: