Un actor de amenazas asociado con el BloqueoBit 3.0<\/b> Se ha observado que la operaci\u00f3n de ransomware como servicio (RaaS) abusa de la herramienta de l\u00ednea de comandos de Windows Defender para descifrar y cargar las cargas \u00fatiles de Cobalt Strike. <\/p>\n
Seg\u00fan un informe publicado por SentinelOne la semana pasada, el incidente ocurri\u00f3 despu\u00e9s de obtener acceso inicial a trav\u00e9s de la vulnerabilidad Log4Shell contra un VMware Horizon Server sin parches.<\/p>\n
“Una vez que se logr\u00f3 el acceso inicial, los actores de amenazas ejecutaron una serie de comandos de enumeraci\u00f3n e intentaron ejecutar varias herramientas posteriores a la explotaci\u00f3n, incluidas Meterpreter, PowerShell Empire y una nueva forma de carga lateral de Cobalt Strike”, los investigadores Julio Dantas, James Haughom y Julien Reisdorffer dijo<\/a>.<\/p>\n LockBit 3.0 (tambi\u00e9n conocido como LockBit Black), que viene con el lema “\u00a1Haz que el ransomware vuelva a ser grandioso!”, es la pr\u00f3xima iteraci\u00f3n del prol\u00edfico Familia LockBit RaaS<\/a> que surgi\u00f3 en junio de 2022 para limar debilidades cr\u00edticas<\/a> descubierto en su antecesor.<\/p>\n Es notable por instituir lo que es la primera recompensa por errores para un programa RaaS. Adem\u00e1s de presentar un sitio de fugas renovado para nombrar y avergonzar a los objetivos que no cumplen y publicar los datos extra\u00eddos, tambi\u00e9n incluye una nueva herramienta de b\u00fasqueda para facilitar la b\u00fasqueda de datos espec\u00edficos de v\u00edctimas.<\/p>\n El uso de t\u00e9cnicas de living-off-the-land (LotL) por parte de los intrusos cibern\u00e9ticos, en las que el software leg\u00edtimo y las funciones disponibles en el sistema se utilizan para la explotaci\u00f3n posterior, no es nuevo y generalmente se considera un intento de evadir la detecci\u00f3n por parte del software de seguridad. .<\/p>\n A principios de abril, se descubri\u00f3 que un afiliado de LockBit ten\u00eda apalancado<\/a> una utilidad de l\u00ednea de comandos de VMware llamada VMwareXferlogs.exe para eliminar Cobalt Strike. Lo que es diferente esta vez es el uso de MpCmdRun.exe para lograr el mismo objetivo.<\/p>\n MpCmdRun.exe es un herramienta de l\u00ednea de comandos<\/a> para llevar a cabo diversas funciones en Microsoft Defender Antivirus, incluido el an\u00e1lisis de software malintencionado, la recopilaci\u00f3n de datos de diagn\u00f3stico y la restauraci\u00f3n del servicio a una versi\u00f3n anterior, entre otras.<\/p>\n En el incidente analizado por SentinelOne, el acceso inicial fue seguido por la descarga de un payload de Cobalt Strike desde un servidor remoto, que posteriormente fue descifrado y cargado usando la utilidad Windows Defender.<\/p>\n “Las herramientas que deben recibir un escrutinio cuidadoso son aquellas para las que la organizaci\u00f3n o el software de seguridad de la organizaci\u00f3n han hecho excepciones”, dijeron los investigadores.<\/p>\n “Productos como VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de amenazas si se les permite operar fuera de los controles de seguridad instalados”.<\/p>\n Los hallazgos se producen cuando los intermediarios de acceso inicial (IAB) est\u00e1n vendiendo activamente el acceso a las redes de la empresa, incluidos los proveedores de servicios administrados (MSP), a otros actores de amenazas con fines de lucro, lo que a su vez ofrece una forma de comprometer a los clientes intermedios.<\/p>\n En mayo de 2022, las autoridades de seguridad cibern\u00e9tica de Australia, Canad\u00e1, Nueva Zelanda, el Reino Unido y los EE. UU. advirtieron sobre los ataques que utilizan como armas a los proveedores de servicios administrados (MSP) vulnerables como un “vector de acceso inicial a m\u00faltiples redes de v\u00edctimas, con efectos en cascada a nivel mundial”.<\/p>\n “Los MSP siguen siendo un objetivo atractivo de la cadena de suministro para los atacantes, en particular los IAB”, dijo el investigador de Huntress, Harlan Carvey. dijo<\/a>instando a las empresas a proteger sus redes e implementar la autenticaci\u00f3n multifactor (MFA).<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"ransomware\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659431790_230_El-ransomware-LockBit-abusa-de-Windows-Defender-para-implementar-la.jpg\" "\\"ransomware\\"")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n