Злонамерни актер користи соју рансомваре-а познату као ЛоцкБит 3.0 да би искористио алатку командне линије Виндовс Дефендер. Кобалт Стрике Беацон корисни терети се распоређују у процесу.

Корисници Виндовс-а су у опасности од напада рансомваре-а

Фирма за сајбер безбедност СентинелОне пријавила је новог актера претњи који користи ЛоцкБит 3.0 (такође познат као ЛоцкБит Блацк) рансомваре да злоупотреби датотеку МпЦмдРун.еке, услужни програм командне линије који чини саставни део Виндовс безбедности система. МпЦмдРун.еке може да скенира у потрази за малвером, тако да не чуди што је на мети овог напада.

ЛоцкБит 3.0 је нова итерација злонамерног софтвера која чини део добро познатог ЛоцкБит-а рансомваре-ас-а-сервице (РааС) породице, која нуди алате за рансомваре корисницима који плаћају.

ЛоцкБит 3.0 се користи за постављање корисних оптерећења Цобалт Стрике након експлоатације, што може довести до крађе података. Цобалт Стрике такође може заобићи детекцију безбедносног софтвера, олакшавајући злонамерном актеру приступ и шифровање осетљивих информација на уређају жртве.

У овој техници бочног учитавања, услужни програм Виндовс Дефендер је такође преварен да одреди приоритет и учита злонамерни ДЛЛ (библиотека динамичке везе), који затим може да дешифрује корисни терет Цобалт Стрике преко .лог датотеке.

ЛоцкБит је већ коришћен за злоупотребу командне линије ВМВаре

У прошлости је такође откривено да су актери ЛоцкБит 3.0 искористили извршну датотеку ВМВаре командне линије, познату као ВМвареКсферлогс.еке, да би применили Цобалт Стрике беацонс. У овој техници бочног учитавања ДЛЛ-а, нападач је искористио рањивост Лог4Схелл-а и преварио услужни програм ВМВаре да учита злонамерни ДЛЛ уместо оригиналног, безопасног ДЛЛ-а.

Такође није познато зашто је злонамерна страна почела да експлоатише Виндовс Дефендер уместо ВМВаре-а у време писања.

СентинелОне извештава да су ВМВаре и Виндовс Дефендер високо ризични

У Пост на блогу СентинелОне о ЛоцкБит 3.0 нападима, наведено је да „ВМваре и Виндовс Дефендер имају високу преваленцију у предузеће и велику корисност за претње актерима ако им је дозвољено да раде изван инсталираног обезбеђења контроле“.

Напади ове природе, у којима се избегавају мере безбедности, постају све чешћи, а ВМВаре и Виндовс Дефендер су постали кључне мете у таквим подухватима.

ЛоцкБит напади не показују знаке заустављања

Иако су овај нови талас напада препознале разне компаније за сајбер безбедност, које живе ван земље технике се и даље континуирано користе за искоришћавање помоћних алата и примену злонамерних датотека за податке крађу. Није познато да ли ће још више услужних алата бити злоупотребљено у будућности коришћењем ЛоцкБит 3.0 или било које друге итерације ЛоцкБит РааС породице.