LockBit usa Cobalt Strike e Windows Defender per aggredire i sistemi: cosa succede

• Ransomware
• Windows Defender

LockBit è uno dei ransomware che stanno facendo più danni nell’ultimo periodo. Non ha bisogno di presentazioni perché praticamente ogni giorno il gruppo di cybercriminali che ne segue lo sviluppo oppure i tanti “affiliati” aggiungono nuovi nomi all’elenco delle aziende prese di mira dal ransomware stesso.
Abbiamo visto cos’è LockBit 3.0 e come funziona l’ultima versione del ransomware.

I ricercatori di Sentinel Labs hanno scoperto una novità: LockBit 3.0 ha cominciato a sfruttare Windows Defender per caricare librerie DLL malevole che si occupano di decodificare e installare beacon Cobalt Strike. Ma andiamo con ordine.

Cobalt Strike è una soluzione assolutamente legittima per il vulnerability assessment e il penetration testing: consente agli “specialisti” e agli esperti in materia di sicurezza informatica di verificare la robustezza di una configurazione mettendo in evidenza eventuali problematiche.
Con l’espressione red teaming si fa riferimento a quella attività di ricerca che ha come obiettivo quello di eseguire un vero e proprio attacco verso i sistemi di un’organizzazione per studiarne le debolezze e migliorare l’efficacia delle misure di sicurezza implementate. Cobalt Strike si muove proprio in questo campo aiutando i ricercatori a capire cosa e come può essere migliorato per proteggere la rete dagli attacchi informatici reali.

Cobalt Strike basa il suo funzionamento sull’utilizzo di beacon, componenti software fileless (che quindi non applicano modifiche a livello di file system) che vanno insediati sui singoli sistemi e permettono al server command and control di eseguire comandi da remoto, attivare funzionalità di keylogging, scaricare e caricare file, estrarre password e credenziali di accesso, attivare l’acquisizione di privilegi più elevati, innescare movimenti laterali verso altri sistemi connessi in rete locale e altro ancora.

È ovvio che il “cuore” di Cobalt Strike non poteva passare inosservato ai criminali informatici: i beacon di Cobalt Strike sono utilizzati per sferrare attacchi mirati (APT, Advanced Persistent Threat) e beneficiare di strumenti evoluti che consentono di selezionare e sottrarre i dati altrui.

Da qualche tempo le soluzioni per la sicurezza informatica riescono a riconoscere e neutralizzare i beacon Cobalt Strike: gli aggressori sono quindi alla ricerca di nuove modalità per distribuire il toolkit sui sistemi delle vittime.

Cos’hanno fatto gli sviluppatori di LockBit 3.0? Come evidenziato in precedenza, hanno utilizzato il processo MpCmdRun.exe, parte integrante di Windows Defender per scaricare e attivare beacon Cobalt Strike.

MpCmdRun.exe

è l’interfaccia a riga di comando di Windows Defender: permette di avviare una scansione antimalware, raccogliere informazioni, ripristinare elementi posti in quarantena, avviare indagini diagnostiche e altro ancora.

Quando eseguita, la riga di comando di Windows Defender carica una DLL legittima (mpclient.dll) che è necessaria per il corretto funzionamento dell’applicazione.
Come spiegato da Sentinel Labs gli autori di LockBit 3.0 hanno creato una versione modificata del file mpclient.dll che viene caricata al posto della libreria Microsoft. La libreria carica ed esegue quindi il payload contenuto in un file di log creato in locale.

L’infezione iniziale ha sfruttato la ben nota falla Log4j ma è assai probabile che LockBit inizi a utilizzare qualunque vulnerabilità scoperta nei software che le aziende sfruttano ogni giorno: non solo relative ai sistemi esposti sulla rete Internet ma anche alle singole workstation di dipendenti e collaboratori.