Il noto ransomware LockBit ha ricevuto aggiornamenti significativi, come evidente dalle segnalazioni di diversi fornitori di sicurezza informatica.
Nuova versione di LockBit osservata in natura
Secondo SentinelLabs, una nuova iterazione del ransomware è stata implementata in natura. LockBit 3.0 o LockBit Black è stato dotato di una serie di routine anti-analisi e anti-debugging, e la capacità di sfruttare un altro strumento legittimo – Windows Defender.
Nel mese di aprile, SentinelLabs ha scoperto che gli operatori LockBit stavano sfruttando l'utilità della riga di comando VMware legittima, VMwareXferlogs.exe, in un impegno dal vivo per caricare lateralmente Cobalt Strike. «Durante una recente indagine, abbiamo scoperto che gli attori delle minacce stavano abusando dello strumento della riga di comando di Windows Defender MpCmdRun.exe per decrittografare e caricare i payload di Cobalt Strike," ha osservato SentinelOne.
Nell'attacco, Cobalt Strike è stato caricato da un server remoto, quindi decrittografato e caricato tramite lo strumento della riga di comando di Windows Defender.
Perché i criminali informatici hanno utilizzato questi strumenti legittimi? “Prodotti come VMware e Windows Defender hanno un'elevata prevalenza nell'azienda e un'elevata utilità per gli attori delle minacce se sono autorizzati a operare al di fuori dei controlli di sicurezza installati,” il rapporto aggiunto.
Un altro attacco significativo attribuito a LockBit è l'attacco ad Accenture, una società di consulenza aziendale globale. Come tale, I clienti di Accenture includono 91 nomi della fortuna globale 100, e almeno tre quarti di Fortune Global 500. Alcuni dei suoi clienti sono Alibaba, Google e Cisco.
Colpo di cobalto lanciato da più attori minacciosi
All'inizio di quest'anno, a maggio, ricercatori di sicurezza ha rilevato un pacchetto Python dannoso "misterioso".e che ha scaricato il malware Cobalt Strike su Windows, Linux, e sistemi macOS. Chiamato "pymafka,” il pacchetto si maschera come la legittima libreria popolare PyKafka, un client Kafka adatto ai programmatori per Python. Secondo i ricercatori Sonatype, il pacchetto dannoso è stato scaricato approssimativamente 300 volte.
Un altro esempio di uno strumento malware utilizzato da più criminali informatici è Bombo. A causa delle specificità delle campagne di malware, i ricercatori sulla sicurezza ritengono che gli attori delle minacce alla base di tali operazioni siano i broker di accesso iniziale. L'accesso alla rete iniziale è ciò che porta gli hacker dannosi all'interno della rete di un'organizzazione. Gli attori delle minacce che lo vendono creano un ponte tra le campagne opportunistiche e gli aggressori mirati. Nella maggior parte dei casi, questi sono operatori di ransomware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: