La società di sicurezza informatica SentinelOne ha pubblicato un nuovo rapporto in cui illustra il modo in cui LockBit è in grado di sfruttare delle vulnerabilità di VMware e Windows Defender allo scopo di distribuire ransomware.
Stando a quanto spiega la società, gli autori dell'attacco sarebbero in grado di sfruttare lo strumento della riga di comando "MpCmdRun.exe" associato a Windows Defender per decrittografare e caricare i payload di Cobalt Strike.
L'attacco iniziale è avvenuto tramite una vulnerabilità Log4Shell riscontrata in un server VMWare Horizon: una notizia che alza sempre di più l'attenzione sulla sicurezza informatica e che spinge a consigliare l'uso di un ottimo programma antivirus.
Lockbit: come avviene la distribuzione ransomware tramite Windows Defender e VMWare
Una volta ottenuto l'accesso iniziale tramite la prima vulnerabilità, gli attori della minaccia informatica hanno tentato di eseguire una serie di comandi di enumerazione e diversi strumenti post-attacco come Meterpreter, PowerShell Empire e un nuovo modo per caricare Cobalt Strike.
Nel dettaglio, nel tentativo di eseguire quest'ultimo, SentinelOne ha scoperto un nuovo strumento legittimo che viene sfruttato per il caricamento di una DLL dannosa capace di decriptare il payload. Gli hacker cercano di ottenere i privilegi necessari per scaricare ed eseguire il payload dopo lo sfruttamento.
Gli esperti della società di sicurezza avvertono quindi che LockBit sta studiando e sfruttando nuovi strumenti per scaricare i beacon Cobalt Strike allo scopo di eludere i programmi antivirus. Si consiglia di tenere sempre aggiornato il proprio software di sicurezza optando per soluzioni come Norton 360, acquistabile in offerta in tutti i suoi piani di abbonamento.