Die bekannte LockBit-Ransomware hat bedeutende Updates erhalten, wie aus den Berichten mehrerer Anbieter von Cybersicherheit hervorgeht.
Neue Version von LockBit in freier Wildbahn beobachtet
Laut SentinelLabs, Eine neue Iteration der Ransomware wurde in freier Wildbahn bereitgestellt. LockBit 3.0 oder LockBit Black wurde mit einer Reihe von Anti-Analyse- und Anti-Debugging-Routinen ausgestattet, und die Fähigkeit, ein anderes legitimes Tool auszunutzen – Windows Defender.
Im April, SentinelLabs entdeckte, dass LockBit-Operatoren das legitime Befehlszeilenprogramm von VMware nutzten, VMwareXferlogs.exe, in einem Live-Engagement, um Cobalt Strike von der Seite zu laden. „Während einer kürzlich durchgeführten Untersuchung, Wir fanden heraus, dass Bedrohungsakteure das Windows Defender-Befehlszeilentool MpCmdRun.exe missbrauchten, um Cobalt Strike-Payloads zu entschlüsseln und zu laden,“ bemerkte SentinelOne.
Im Angriff, Cobalt Strike wurde von einem Remote-Server geladen und dann über das Befehlszeilentool Windows Defender entschlüsselt und geladen.
Warum haben die Cyberkriminellen diese legitimen Tools verwendet?? “Produkte wie VMware und Windows Defender haben eine hohe Verbreitung in Unternehmen und einen hohen Nutzen für Bedrohungsakteure, wenn sie außerhalb der installierten Sicherheitskontrollen operieren dürfen,” der Bericht hinzugefügt.
Ein weiterer bedeutender Angriff, der LockBit zugeschrieben wird, ist der Angriff auf Accenture, ein globales Unternehmensberatungsunternehmen. So wie, Zu den Kunden von Accenture gehören 91 Namen der Fortune Global 100, und mindestens drei Viertel des Fortune Global 500. Einige seiner Kunden sind Alibaba, Google und Cisco.
Cobalt Strike wird von mehreren Bedrohungsakteuren fallen gelassen
Früher in diesem Jahr, im Mai, Sicherheitsforscher hat ein „mysteriöses“ bösartiges Python-Paket entdeckte, der die Malware Cobalt Strike unter Windows heruntergeladen hat, Linux, und macOS-Systemen. Genannt „Pymafka,” Das Paket gibt sich als die legitime populäre Bibliothek PyKafka aus, ein programmiererfreundlicher Kafka-Client für Python. Laut Sonatype-Forschern, das bösartige Paket wurde ungefähr heruntergeladen 300 mal.
Ein weiteres Beispiel für ein Malware-Tool, das von mehreren Cyberkriminellen verwendet wird, ist Hummel. Aufgrund der Besonderheiten der Malware-Kampagnen, Sicherheitsforscher glauben, dass die Bedrohungsakteure hinter solchen Operationen Vermittler des Erstzugangs sind. Der anfängliche Netzwerkzugriff führt dazu, dass böswillige Hacker im Netzwerk eines Unternehmens auftreten. Bedrohungsakteure, die sie verkaufen, schaffen eine Brücke zwischen opportunistischen Kampagnen und gezielten Angreifern. Meistens, Dies sind Ransomware-Betreiber.