Lo Último en IP@P
- Stellar Data Recovery revoluciona la recuperación de archivos perdidos en discos duros externos
- Goblin Mine: La Estrategia Económica Detrás del Juego de Minería que está Fascinando a Todos
- Estos son los nuevos Cargadores UGREEN: potencia y portabilidad en dos versiones que no te puedes perder
- UGREEN Nexode Pro: El Cargador Ultradelgado que revoluciona la carga de dispositivos móviles
- La computación en la nube está transformando los juegos Online y estas son sus grandes ventajas
El pasado 31 de julio, la empresa de seguridad cibernética Sentinel One informó que Microsoft se encontraba en peligro. Esto se debe a que los ciberdelincuentes asociados con la operación LockBit 3.0 Ransomware-as-a-Service (RaaS) utilizarían la herramienta de línea de comando de Windows Defender para cargar Cobalt Strike.
Es así, como toda la defensa que presumía Windows Defender ha quedado muy mal, ya que el Lockbit se aprovecharía de sus vulnerabilidades a placer para actuar de manera libre e infectar los ordenadores de las víctimas.
El ransomware Lockbit se aprovecha de Windows Defender para transferir Cobalt Strike
El pasado domingo los expertos de seguridad lograron detectar una anomalía en la que descubrieron que el TA había llevado a cabo varios ataques de forma libre.
Una situación que colocó en máxima alerta a la empresa Sentinel One, quien de inmediato empezó a tomar las medidas necesarias. Esto al considerar que se trata de un tema muy delicado, sobre todo por la frecuencia en la que ocurre.
Es así, como el ataque se produce después de que obtuvieron el acceso inicial a través de la vulnerabilidad Log4Shell contra un vMware Server, el cual no estaba parcheado. Asimismo, la compañía de protección ha indicado que la amenaza está asociada con el BloqueoBit 3.0.
De esta manera, se aprovecharía de la línea de comandos de Windows Defender para llevar a cabo la agresión, la cual descifra y carga las cargas útiles de Cobalt Strike.
“Durante una investigación reciente, hemos logrado descubrir que los piratas informáticos abusaban de la herramienta en línea de comando MpCmdRun.exe de WinDef para descifrar y descargar las cargas útiles de Cobalt Strike”
Sentinel One, empresa de investigación y seguridad cibernética
La familia del LockBit RaaS se dio a conocer por primera vez en junio de 2022. Desde entonces, se ha encargado de aprovechar las debilidades críticas de sus víctimas, así como mejorar los detalles internos que se han descubierto a sus antecesores para que cada vez sea más difícil de detectarlo.
Se trata de un programa malicioso avanzado que exige recompensa tras cometer sus actos. También se ha podido ver que en caso que los objetivos no cumplan, entonces publican los datos extraídos.
“Una vez han conseguido el acceso inicial, lo que se considera más difícil, los actores de la amenaza han logrado ejecutar una serie de comandos de viñetas e intentaron ejecutar una gran cantidad de herramientas más tarde, incluidos el PowerShell Empire, Meterpreter y una carga lateral de Cobalt Strike.”
Julio Dantas, Julien Reisdorfer y James Haughom, investigadores del caso.
Hay que tener en cuenta que el método con el que trabajan estos ciberdelincuentes no es nuevo e incluso se considera que es una forma efectiva para evitar la detección por parte del software de seguridad. En este caso la técnica utilizada en la de living-off-the-land (LotL).
De esta manera, los intrusos se encargan de utilizar el software legal y las funciones disponibles en el sistema para llevar a cabo la explotación posterior.
“Los defensores deben estar muy atento al hecho de que los afiliados y operadores del ransomware LockBit desarrollan y explotan herramientas novedosas que les permite cargar Cobalt Strike y así evadir los mecanismos comunes de detección de AV tradicionales y EDR”
Sentinel One, empresa de investigación y seguridad cibernética
Para casos similares en ocasiones anteriores se ha usado una herramienta de línea de comandos de VMware denominada VMwareXferlogs.exe para lograr eliminar Cobalt Strike. Sin embargo, la diferencia en esta oportunidad es que debe usarse MpCmdRun.exe para tratar de conseguir el mismo objetivo.
Últimas Noticias de Software y APPs
- Stellar Data Recovery revoluciona la recuperación de archivos perdidos en discos duros externos
- La computación en la nube está transformando los juegos Online y estas son sus grandes ventajas
- Actualizaciones del Programa de Afiliados de TEMU: ¡Hasta MX$500,000 al mes!
- ¿Por qué la gente opta por WPS Office en vez de continuar usando Microsoft Office?
- Según nuestro último estudio, estos son los mejores gestores de archivos para smartphones Android
SÍGUENOS EN 👉 YOUTUBE TV
Se trata de una herramienta de la línea de comando que es utilizado por Microsoft Defender Antivirus para llevar a cabo varias funciones de seguridad como encontrar software maliciosos, recopilar los datos de diagnósticos y restaurar servicios a una versión anterior.
De manera que esta podría ser una solución a todo este problema, el cual según Sentinel One, el primer ataque fue seguido por una carga útil de Cobalt Strike realizado desde un servidor remoto. Con esto los delincuentes lograron descifrar y vulnerar Windows Defender.
Toda esta vulnerabilidad es conseguida al momento que los intermediarios de acceso inicial empiezan a ofrecer de forma muy activa la posibilidad de entrar a las redes corporativas, así como a los proveedores de los servicios administrativos.
“Productos como VMware y Windows Defender tienen una gran importancia en la empresa y son de mucha utilidad para amenazar a los actores si se les permite actuar fuera de los controles de seguridad previamente instalados”
Sentinel One, empresa de investigación y seguridad cibernética
Hace no mucho Microsoft presumía que Windows Defender tenía protección contra ransomware
Los ransomware son una de las peores amenazas cibernéticas de la actualidad. Ya que se trata de un malware que es muy difícil de descubrir y que tiene la capacidad de cifrar archivos para que estos queden inutilizable mientras ellos extraen toda la información posible.
Estos ataques casi siempre suelen solicitar una recompensa económica para volver a liberar la información o de lo contrario la publican en foros y páginas web.
Sin embargo, hasta ahora Windows Defender se había mostrado como un software de protección capaz de anular estos ataques, pero se ha demostrado todo lo contrario.
Incluso hay que mencionar que de acuerdo a un estudio realizado por parte de AV-TEST, el programa de protección de Microsoft se llevó el mejor puntaje a la hora de detener los ransomware.
Esto hizo pensar a todos los usuarios que usar este protector de virus les permitirá estar seguro ante estas agresiones. Además, viene integrado en las últimas versiones de Windows, lo que lo hace más interesante aún.
Pero después de conocerse esta vulnerabilidad en su sistema y que haya permitido que el LockBit se ejecutará en él y pudiera aprovecharse de sus debilidades, esto ha dejado muchas dudas a los usuarios, quienes han descubierto que realmente no se tiene una protección contra estas amenazas, por lo que las alarmas se han activado.
Por ahora, Windows Defender deberá trabajar en estas vulnerabilidades e intentar ofrecer un sistema que sea seguro y confiable, ya que muchos de sus usuarios empiezan a dudar de su efectividad, lo que claramente podría ocasionar que migren a otros programas de protección en busca de estas seguridades que no se brindan en la herramienta de Microsoft.