De bekende LockBit-ransomware heeft belangrijke updates ontvangen, zoals blijkt uit de rapporten van verschillende leveranciers van cyberbeveiliging.
Nieuwe versie van LockBit waargenomen in het wild
Volgens SentinelLabs, een nieuwe versie van de ransomware is in het wild ingezet. LockBit 3.0 of LockBit Black is uitgerust met een reeks anti-analyse- en anti-debugging-routines, en de mogelijkheid om een ander legitiem hulpmiddel te exploiteren – Windows Defender.
In april, SentinelLabs ontdekte dat LockBit-operators het legitieme VMware-hulpprogramma voor de opdrachtregel gebruikten, VMwareXferlogs.exe, in een live-engagement om Cobalt Strike aan de zijkant te laden. "Tijdens een recent onderzoek", we ontdekten dat bedreigingsacteurs de Windows Defender-opdrachtregeltool MpCmdRun.exe misbruikten om Cobalt Strike-payloads te decoderen en te laden,"SentinelOne merkte op".
in de aanval, Cobalt Strike is geladen vanaf een externe server en vervolgens gedecodeerd en geladen via de Windows Defender-opdrachtregeltool.
Waarom hebben de cybercriminelen deze legitieme tools gebruikt?? “Producten zoals VMware en Windows Defender hebben een hoge prevalentie in de onderneming en een hoog nut om actoren te bedreigen als ze buiten de geïnstalleerde beveiligingscontroles mogen opereren,” het verslag toegevoegd.
Een andere belangrijke aanval die wordt toegeschreven aan LockBit is: de aanval op Accenture, een wereldwijd zakelijk adviesbureau. Als zodanig, Tot de klanten van Accenture behoren: 91 namen van de Fortune Global 100, en ten minste driekwart van de Fortune Global 500. Sommige van haar klanten zijn Alibaba, Google en Cisco.
Cobalt Strike gedropt door meerdere bedreigingsacteurs
Eerder dit jaar, in mei, security onderzoekers heeft een "mysterieus" kwaadaardig Python-pakket gedetecteerde die de Cobalt Strike-malware op Windows heeft gedownload, Linux, en macOS-systemen. genaamd "pymafka,” het pakket doet zich voor als de legitieme populaire bibliotheek PyKafka, een programmeervriendelijke Kafka-client voor Python. Volgens Sonatype-onderzoekers, het kwaadaardige pakket is ongeveer gedownload 300 tijden.
Een ander voorbeeld van een malwaretool die door meerdere cybercriminelen wordt gebruikt, is: Hommel. Vanwege de specifieke kenmerken van de malwarecampagnes, beveiligingsonderzoekers zijn van mening dat de dreigingsactoren achter dergelijke operaties initiële toegangsmakelaars zijn. Initiële netwerktoegang is wat kwaadwillende hackers binnen het netwerk van een organisatie krijgt. Bedreigingsactoren die het verkopen, slaan een brug tussen opportunistische campagnes en gerichte aanvallers. Meestal, dit zijn ransomware-operators.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: