O conhecido ransomware LockBit vem recebendo atualizações significativas, como é evidente pelos relatórios de vários fornecedores de segurança cibernética.
Nova versão do LockBit observada na natureza
De acordo com SentinelLabs, uma nova iteração do ransomware foi implantada em estado selvagem. LockBit 3.0 ou LockBit Black foi equipado com uma série de rotinas anti-análise e anti-depuração, e a capacidade de explorar outra ferramenta legítima – Windows Defender.
Em abril, O SentinelLabs descobriu que os operadores do LockBit estavam aproveitando o utilitário de linha de comando legítimo do VMware, VMwareXferlogs.exe, em um compromisso ao vivo para carregar Cobalt Strike. “Durante uma investigação recente, descobrimos que os agentes de ameaças estavam abusando da ferramenta de linha de comando do Windows Defender MpCmdRun.exe para descriptografar e carregar cargas úteis do Cobalt Strike,” SentinelOne observou.
No ataque, Cobalt Strike foi carregado de um servidor remoto e, em seguida, descriptografado e carregado por meio da ferramenta de linha de comando do Windows Defender.
Por que os cibercriminosos usaram essas ferramentas legítimas? “Produtos como VMware e Windows Defender têm uma alta prevalência na empresa e uma grande utilidade para os agentes de ameaças, se tiverem permissão para operar fora dos controles de segurança instalados,” o relatório adicionado.
Outro ataque significativo atribuído ao LockBit é o ataque contra a Accenture, uma empresa global de consultoria de negócios. Assim sendo, Os clientes da Accenture incluem 91 nomes da Fortune Global 100, e pelo menos três quartos da Fortune Global 500. Alguns de seus clientes são Alibaba, Google e Cisco.
Cobalt Strike descartado por vários atores de ameaças
No início deste ano, em maio, pesquisadores de segurança detectou um pacote Python malicioso “misterioso”e que baixou o malware Cobalt Strike no Windows, Linux, e sistemas macOS. Chamado de “pymafka,” o pacote se disfarça como a biblioteca popular legítima PyKafka, um cliente Kafka amigável ao programador para Python. De acordo com pesquisadores da Sonatype, o pacote malicioso foi baixado aproximadamente 300 vezes.
Outro exemplo de uma ferramenta de malware usada por vários cibercriminosos é Abelha. Devido às especificidades das campanhas de malware, pesquisadores de segurança acreditam que os agentes de ameaças por trás de tais operações são corretores de acesso inicial. O acesso inicial à rede é o que leva hackers mal-intencionados para dentro da rede de uma organização. Atores de ameaças que estão vendendo criam uma ponte entre campanhas oportunistas e invasores direcionados. Na maioria dos casos, estes são operadores de ransomware.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: