Detección de Ataques de Ransomware LockBit 3.0: Despliegue de Balizas de Cobalt Strike Abusando de Microsoft Defender
Tabla de contenidos:
LockBit los actores de amenazas han estado recientemente en el centro de atención en el dominio cibernético. En julio de 2022, el colectivo de hacking fue noticia al introducir el primer programa de recompensas por errores lanzado por una banda de ransomware. En los últimos ciberataques, el notorio grupo de ransomware aplica herramientas Living-off-the-Land abusando de la utilidad de línea de comandos legítima de Microsoft Defender para desplegar balizas Cobalt Stike en los sistemas objetivo mientras utiliza una serie de técnicas anti-análisis para evadir la detección.
Detección de ataques de LockBit: Balizas de Cobalt Strike desplegadas abusando de Microsoft Defender
Desde que surgió en junio de 2022, la versión de ransomware LockBit 3.0 (también conocida como LockBit Black) representa una amenaza creciente para las empresas de todo el mundo. La nueva cepa presenta funciones avanzadas y aprovecha nuevas tácticas para aumentar las tasas de infección y asegurar ganancias para los afiliados del anillo RaaS. Para ayudar a los profesionales de seguridad a identificar la actividad maliciosa asociada con la última campaña de LockBit, el equipo de SOC Prime lanzó una regla Sigma curada para detectar el posible abuso de Microsoft Defender dirigido al sideloading de balizas Cobalt Strike.
Posible secuestro de MpClient.dll (vía image_load)
Esta detección admite traducciones a 20 plataformas SIEM, EDR y XDR. La regla está mapeada al marco MITRE ATT&CK® v.10, abordando la táctica de Evasión de Defensa con el Secuestro de Orden de Búsqueda DLL (T1059) como la técnica principal.
¿Deseas crear tus propias reglas Sigma para detectar amenazas emergentes y hacer del mundo un lugar más seguro? Únete a nuestro Programa de Recompensas por Amenazas para defensores cibernéticos, comparte tus algoritmos de detección basados en Sigma, y recibe pagos repetidos por tu contribución.
La lista completa de reglas Sigma para detectar cualquier cepa de ransomware asociada con los hackers de LockBit está disponible para todos los usuarios registrados de la Plataforma Detection as Code. Simplemente presiona el botón Detect & Hunt y accede a una lista dedicada de algoritmos disponibles en el repositorio del Marketplace de Detección de Amenazas. Los usuarios no registrados pueden consultar nuestro Motor de Búsqueda de Amenazas Cibernéticas para acceder a reglas Sigma relevantes acompañadas de contexto MITRE ATT&CK y enlaces CTI. Presiona el botón Explore Threat Context para realizar una búsqueda de contenido simplificada.
Detect & Hunt Explore Threat Context
Análisis de ataques de ransomware LockBit: La última campaña de sideloading de balizas Cobalt Strike
LockBit 3.0 (también conocida como LockBit Black) resurgió en la arena de amenazas cibernéticas como la siguiente iteración de la familia LockBit RaaS mejorada con capacidades más sofisticadas y con un conjunto de técnicas anti-análisis y anti-depuración. La actividad adversaria de los operadores de LockBit que aprovechan el modelo RaaS se remonta a 2019 con la rápida evolución de las cepas maliciosas aplicadas y un arsenal expandido de herramientas. Durante 2020-2021, LockBit se ubicó entre las cepas maliciosas más activas e infames, utilizando una variedad de vectores de ataque y técnicas adversarias para propagar la infección. Comúnmente, los mantenedores de ransomware utilizaban el vector de ataque por correo electrónico de phishing para obtener acceso inicial al entorno comprometido, seguido de la etapa de reconocimiento para realizar movimientos laterales y proceder con el proceso de infección. En junio de 2021, la banda de ransomware lanzó la versión mejorada LockBit 2.0, armando vulnerabilidades no parcheadas, exploits de día cero, y aprovechando una amplia gama de TTPs adversarios.
La última iteración de las operaciones notorias de RaaS abusa de la herramienta de Microsoft Defender para desplegar cargas útiles de Cobalt Strike en los sistemas comprometidos. La cadena de ataques LockBit comienza obteniendo acceso inicial a través de la nefasta vulnerabilidad Log4Shell explotación en el servidor VMWare Horizon vulnerable para ejecutar código PowerShell. Después de obtener los privilegios de usuario necesarios, los atacantes intentan lanzar herramientas de post-explotación y cargar balizas Cobalt Strike. La utilidad de línea de comandos legítima de Microsoft Defender MpCmdRun.exe se aplica para sideloading de un archivo DLL malicioso, que desencripta y despliega las cargas útiles.
Con los operadores de ransomware LockBit expandiendo su kit de herramientas adversarias mediante el uso de herramientas Living-off-the-Land, la detección oportuna de ataques de ransomware complicados de tal escala y sofisticación requiere una atención minuciosa por parte de los defensores cibernéticos. La plataforma de Detection as Code de SOC Prime permite a los profesionales de la ciberseguridad mejorar sin problemas sus capacidades de detección de amenazas y aumentar la velocidad de caza de amenazas mientras se mantienen constantemente a la delantera de los ataques de ransomware actuales y emergentes. Se invita a los Ingenieros de Detección y Cazadores de Amenazas experimentados y aspirantes a unirse Programa de Recompensas por Amenazas para enriquecer la experiencia colaborativa con su contenido de detección, monetizar su aporte y contribuir al futuro de la defensa cibernética.
