El conocido ransomware LockBit ha estado recibiendo importantes actualizaciones, como lo demuestran los informes de varios proveedores de seguridad cibernética.
Nueva versión de LockBit observada en la naturaleza
Según SentinelLabs, se ha implementado una nueva iteración del ransomware en la naturaleza. LockBit 3.0 o LockBit Black ha sido equipado con una serie de rutinas anti-análisis y anti-depuración, y la capacidad de explotar otra herramienta legítima – Windows Defender.
En abril, SentinelLabs descubrió que los operadores de LockBit estaban aprovechando la utilidad de línea de comandos legítima de VMware, VMwareXferlogs.exe, en un compromiso en vivo para cargar lateralmente Cobalt Strike. “Durante una investigación reciente, descubrimos que los actores de amenazas estaban abusando de la herramienta de línea de comandos de Windows Defender MpCmdRun.exe para descifrar y cargar las cargas útiles de Cobalt Strike,SentinelOne señaló.
en el ataque, Cobalt Strike se cargó desde un servidor remoto y luego se descifró y cargó a través de la herramienta de línea de comandos de Windows Defender..
¿Por qué los ciberdelincuentes usaron estas herramientas legítimas?? “Productos como VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de amenazas si se les permite operar fuera de los controles de seguridad instalados.,” el informe adicional.
Otro ataque significativo atribuido a LockBit es el ataque contra Accenture, una firma de consultoría de negocios global. Tal como, Los clientes de Accenture incluyen 91 nombres de Fortune Global 100, y al menos tres cuartas partes de Fortune Global 500. Algunos de sus clientes son Alibaba, Google y Cisco.
Ataque de cobalto lanzado por múltiples actores de amenazas
A principios de este año, En Mayo, los investigadores de seguridad detectó un paquete Python malicioso "misterioso"e que descargó el malware Cobalt Strike en Windows, Linux, y sistemas macOS. Llamado "pymafka,” el paquete se hace pasar por la biblioteca popular legítima PyKafka, un cliente de Kafka fácil de programar para Python. Según los investigadores de Sonatype, el paquete malicioso se ha descargado aproximadamente 300 veces.
Otro ejemplo de una herramienta de malware utilizada por varios ciberdelincuentes es Abejorro. Debido a las especificidades de las campañas de malware, los investigadores de seguridad creen que los actores de amenazas detrás de tales operaciones son corredores de acceso inicial. El acceso inicial a la red es lo que hace que los piratas informáticos malintencionados entren en la red de una organización. Los actores de amenazas que lo venden crean un puente entre las campañas oportunistas y los atacantes dirigidos. En la mayoría de los casos, estos son operadores de ransomware.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: