Hackers hebben een tool van Windows Defender gebruikt om ongedetecteerd LockBit 3.0-ransomware op een systeem te verspreiden. Amerikaans computerbeveiligingsbedrijf SentinelOne deed onderzoek naar het incident.
De kwaadwillenden kwamen een server binnen via een kwetsbaarheid in het logboekprogramma Log4j. Ze voerden een aantal commando’s uit in PowerShell, waarmee onder andere het opdrachtregelprogramma MpCmdRun.exe van Windows Defender werd gebruikt om een zogenaamde Cobalt Strike 'beacon' op te zetten.
Cobalt Strike is legitieme software om systeem- en netwerkpenetraties mee uit te voeren, maar hackers gebruiken het nu om een beacon op te zetten, waarmee malware naar een server geüpload kan worden. In dit geval ging het dus om LockBit 3.0-ransomware, die je bestanden versleutelt en cryptomunten als losgeld vraagt.
Het is niet de eerste keer dat LockBit 3.0-aanvallers legitieme software gebruiken voor hun praktijken, eerder was VMWare’s eigen command-line-interface al aan de beurt.
MpCmdRun.exe in de Opdrachtprompt.
Bron: SentinelOne
