✅ ÚNETE a la Comunidad de IP@P ⏩ ENTRA AQUÍ
📅 Tal día como hoy 12 de agosto... ¿QUÉ PASÓ?
Cursos Gratis
Ganar Dinero Internet
Android
Windows
iOS
MacOS
Linux
Facebook
Amazon
Netflix
Whatsapp
Twitch
Instagram
YouTube
Gmail
TikTok
Arduino
Telegram
Raspberry Pi

Windows Defender presumía tener defensa contra ransomware, pero el Lockbit se aprovecha de sus vulnerabilidades a placer

Windows Defender era considerado como el antivirus con mayor protección contra ransomware según la AV-TEST, pero una vulnerabilidad en su sistema ha sido suficiente para que el LockBit ejecute sus códigos maliciosos y lleve a cabo su agresión

Nely Zambrano
Autor: Nely Zambrano
Fecha: 04 agosto, 2022 a las 17:04

El pasado 31 de julio, la empresa de seguridad cibernética Sentinel One informó que Microsoft se encontraba en peligro. Esto se debe a que los ciberdelincuentes asociados con la operación LockBit 3.0 Ransomware-as-a-Service (RaaS) utilizarían la herramienta de línea de comando de Windows Defender para cargar Cobalt Strike.

Es así, como toda la defensa que presumía Windows Defender ha quedado muy mal, ya que el Lockbit se aprovecharía de sus vulnerabilidades a placer para actuar de manera libre e infectar los ordenadores de las víctimas.

publicidad

El ransomware Lockbit se aprovecha de Windows Defender para transferir Cobalt Strike

El ransomware Lockbit se aprovecha de Windows Defender para transferir Cobalt Strike

El pasado domingo los expertos de seguridad lograron detectar una anomalía en la que descubrieron que el TA había llevado a cabo varios ataques de forma libre.

Una situación que colocó en máxima alerta a la empresa Sentinel One, quien de inmediato empezó a tomar las medidas necesarias. Esto al considerar que se trata de un tema muy delicado, sobre todo por la frecuencia en la que ocurre.

Es así, como el ataque se produce después de que obtuvieron el acceso inicial a través de la vulnerabilidad Log4Shell contra un vMware Server, el cual no estaba parcheado. Asimismo, la compañía de protección ha indicado que la amenaza está asociada con el BloqueoBit 3.0.

De esta manera, se aprovecharía de la línea de comandos de Windows Defender para llevar a cabo la agresión, la cual descifra y carga las cargas útiles de Cobalt Strike.

“Durante una investigación reciente, hemos logrado descubrir que los piratas informáticos abusaban de la herramienta en línea de comando MpCmdRun.exe de WinDef para descifrar y descargar las cargas útiles de Cobalt Strike”

Sentinel One, empresa de investigación y seguridad cibernética

La familia del LockBit RaaS se dio a conocer por primera vez en junio de 2022. Desde entonces, se ha encargado de aprovechar las debilidades críticas de sus víctimas, así como mejorar los detalles internos que se han descubierto a sus antecesores para que cada vez sea más difícil de detectarlo.

Se trata de un programa malicioso avanzado que exige recompensa tras cometer sus actos. También se ha podido ver que en caso que los objetivos no cumplan, entonces publican los datos extraídos.

“Una vez han conseguido el acceso inicial, lo que se considera más difícil, los actores de la amenaza han logrado ejecutar una serie de comandos de viñetas e intentaron ejecutar una gran cantidad de herramientas más tarde, incluidos el PowerShell Empire, Meterpreter y una carga lateral de Cobalt Strike.”

Julio Dantas, Julien Reisdorfer y James Haughom, investigadores del caso.

Hay que tener en cuenta que el método con el que trabajan estos ciberdelincuentes no es nuevo e incluso se considera que es una forma efectiva para evitar la detección por parte del software de seguridad. En este caso la técnica utilizada en la de living-off-the-land (LotL).

De esta manera, los intrusos se encargan de utilizar el software legal y las funciones disponibles en el sistema para llevar a cabo la explotación posterior.

“Los defensores deben estar muy atento al hecho de que los afiliados y operadores del ransomware LockBit desarrollan y explotan herramientas novedosas que les permite cargar Cobalt Strike y así evadir los mecanismos comunes de detección de AV tradicionales y EDR”

Sentinel One, empresa de investigación y seguridad cibernética

Para casos similares en ocasiones anteriores se ha usado una herramienta de línea de comandos de VMware denominada VMwareXferlogs.exe para lograr eliminar Cobalt Strike. Sin embargo, la diferencia en esta oportunidad es que debe usarse MpCmdRun.exe para tratar de conseguir el mismo objetivo.

Se trata de una herramienta de la línea de comando que es utilizado por Microsoft Defender Antivirus para llevar a cabo varias funciones de seguridad como encontrar software maliciosos, recopilar los datos de diagnósticos y restaurar servicios a una versión anterior.

De manera que esta podría ser una solución a todo este problema, el cual según Sentinel One, el primer ataque fue seguido por una carga útil de Cobalt Strike realizado desde un servidor remoto. Con esto los delincuentes lograron descifrar y vulnerar Windows Defender.

Toda esta vulnerabilidad es conseguida al momento que los intermediarios de acceso inicial empiezan a ofrecer de forma muy activa la posibilidad de entrar a las redes corporativas, así como a los proveedores de los servicios administrativos.

“Productos como VMware y Windows Defender tienen una gran importancia en la empresa y son de mucha utilidad para amenazar a los actores si se les permite actuar fuera de los controles de seguridad previamente instalados”

Sentinel One, empresa de investigación y seguridad cibernética

Hace no mucho Microsoft presumía que Windows Defender tenía protección contra ransomware

Los ransomware son una de las peores amenazas cibernéticas de la actualidad. Ya que se trata de un malware que es muy difícil de descubrir y que tiene la capacidad de cifrar archivos para que estos queden inutilizable mientras ellos extraen toda la información posible.

Estos ataques casi siempre suelen solicitar una recompensa económica para volver a liberar la información o de lo contrario la publican en foros y páginas web.

Sin embargo, hasta ahora Windows Defender se había mostrado como un software de protección capaz de anular estos ataques, pero se ha demostrado todo lo contrario.

Incluso hay que mencionar que de acuerdo a un estudio realizado por parte de AV-TEST, el programa de protección de Microsoft se llevó el mejor puntaje a la hora de detener los ransomware.

Esto hizo pensar a todos los usuarios que usar este protector de virus les permitirá estar seguro ante estas agresiones. Además, viene integrado en las últimas versiones de Windows, lo que lo hace más interesante aún.

Pero después de conocerse esta vulnerabilidad en su sistema y que haya permitido que el LockBit se ejecutará en él y pudiera aprovecharse de sus debilidades, esto ha dejado muchas dudas a los usuarios, quienes han descubierto que realmente no se tiene una protección contra estas amenazas, por lo que las alarmas se han activado.

Por ahora, Windows Defender deberá trabajar en estas vulnerabilidades e intentar ofrecer un sistema que sea seguro y confiable, ya que muchos de sus usuarios empiezan a dudar de su efectividad, lo que claramente podría ocasionar que migren a otros programas de protección en busca de estas seguridades que no se brindan en la herramienta de Microsoft.

🔥ÚNETE🔥 A LA NUEVA COMUNIDAD DE IP@P ¡APÚNTATE AQUÍ!

Si te quedaste con alguna duda, déjalas en los comentarios, te contestaremos lo antes posible, además seguro que será de gran ayuda para más miembros de la comunidad. Gracias! 😉

Temas

Nely Zambrano
Autor: Nely Zambrano

Tengo gran experiencia en el ámbito tecnológico, mis especialidades son el diseño gráfico, las redes sociales y el Marketing Digital. Windows y Android son mi especialidad.

Publicidad

Últimas Noticias

Deja un comentario