Le célèbre rançongiciel LockBit a reçu des mises à jour importantes, comme en témoignent les rapports de plusieurs fournisseurs de cybersécurité.
Nouvelle version de LockBit observée dans la nature
Selon Sentinel Labs, une nouvelle itération du ransomware a été déployée dans la nature. Verrouillage 3.0 ou LockBit Black a été équipé d'une série de routines anti-analyse et anti-débogage, et la capacité d'exploiter un autre outil légitime – Windows Defender.
En Avril, SentinelLabs a découvert que les opérateurs LockBit utilisaient l'utilitaire de ligne de commande VMware légitime, VMwareXferlogs.exe, dans un engagement en direct pour charger latéralement Cobalt Strike. « Au cours d'une récente enquête, nous avons constaté que les pirates abusaient de l'outil de ligne de commande Windows Defender MpCmdRun.exe pour déchiffrer et charger les charges utiles Cobalt Strike," a noté SentinelOne.
Dans l'attaque, Cobalt Strike a été chargé à partir d'un serveur distant, puis déchiffré et chargé via l'outil de ligne de commande Windows Defender.
Pourquoi les cybercriminels ont-ils utilisé ces outils légitimes? “Des produits comme VMware et Windows Defender ont une forte prévalence dans l'entreprise et une grande utilité pour les acteurs de la menace s'ils sont autorisés à opérer en dehors des contrôles de sécurité installés,” le rapport ajoutée.
Une autre attaque importante attribuée à LockBit est l'attentat contre Accenture, une société mondiale de conseil en affaires. En tant que tel, Les clients d'Accenture comprennent 91 noms de Fortune Global 100, et au moins les trois quarts du Fortune Global 500. Certains de ses clients sont Alibaba, Google et Cisco.
Cobalt Strike abandonné par plusieurs acteurs menaçants
Plus tôt cette année, en mai, les chercheurs en sécurité a détecté un package Python malveillant "mystérieux"e qui a téléchargé le malware Cobalt Strike sur Windows, Linux, et systèmes macOS. Appelé "pymafka,” le paquet se fait passer pour la bibliothèque populaire légitime PyKafka, un client Kafka convivial pour les programmeurs pour Python. Selon les chercheurs de Sonatype, le paquet malveillant a été téléchargé environ 300 fois.
Un autre exemple d'outil malveillant utilisé par plusieurs cybercriminels est Bourdon. En raison des spécificités des campagnes de logiciels malveillants, les chercheurs en sécurité pensent que les acteurs de la menace derrière de telles opérations sont des courtiers d'accès initiaux. L'accès initial au réseau est ce qui permet aux pirates malveillants d'accéder au réseau d'une organisation. Les acteurs de la menace qui le vendent créent un pont entre les campagnes opportunistes et les attaquants ciblés. Dans la plupart des cas, ce sont des opérateurs de ransomware.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: