Los operadores de ransomware de Lockbit han adoptado un enfoque cada vez más sofisticado para evadir la detección al aprovechar las técnicas de respuesta lateral DLL que explotan la confianza inherente colocada en aplicaciones legítimas.
Este método sigiloso implica engañar a las aplicaciones legítimas y firmadas digitalmente para cargar bibliotecas de enlaces dinámicos maliciosos en lugar de sus componentes previstos, lo que permite que los ciberdelabinales ejecutaran cargas útiles de ransomware mientras se disfrazan de procesos de sistemas confiables.
La técnica ha demostrado ser particularmente efectiva porque explota el mecanismo de orden de búsqueda de DLL de Windows, donde las aplicaciones buscan bibliotecas requeridas en secuencias de directorio específicas.
Al colocar estratégicamente dlls maliciosos con nombres idénticos a los legítimos en los directorios que se buscan antes de las ubicaciones reales de la biblioteca, los atacantes pueden secuestrar el proceso de carga de las aplicaciones de confianza.
Este enfoque evita muchas medidas de seguridad tradicionales que dependen de la reputación de la aplicación y las firmas digitales para la detección de amenazas.
Cadena de ataque reciente de Lockbit (Fuente – Seguridad)
Las recientes campañas de ataque han demostrado la evolución de Lockbit más allá de los métodos de despliegue convencionales, con actores de amenazas que ahora combinan la decisión lateral de DLL con extensas técnicas de máscaras.
Los analistas de inteligencia de amenazas de seguridad tienen identificado Múltiples instancias en las que los atacantes cambian de nombre de ejecuciones maliciosos para imitar los nombres de dominio de la compañía, mejorando aún más su capacidad para combinar el tráfico de red legítimo y evitar la detección de los sistemas de monitoreo de seguridad.
Otra cadena de ataque reciente de Lockbit (Fuente – Seguridad)
Se ha observado que el grupo de ransomware dirige a las organizaciones de alto valor a través del acceso inicial a través de herramientas de gestión remota, como Meshagent y TeamViewer, que posteriormente implementan su sofisticado mecanismo DLL Sidelading para establecer la persistencia y ejecutar la carga útil de cifrado.
Implementación avanzada de DLL Sideloting
La implementación de Lockbit de DLL Sideloting demuestra una notable sofisticación técnica, utilizando tres combinaciones de aplicaciones legítimas principales para entregar su carga útil de ransomware.
El ejemplo más destacado involucra a los componentes de la plataforma Java Jarsigner.exe y Jli.dll, donde los atacantes colocan un Jarsigner.
Cuando se ejecuta, Jarsigner.exe intenta naturalmente cargar jli.dll para su funcionalidad, cargando inadvertidamente la versión maliciosa que sirve como cargador para la carga útil de Lockbit.
Del mismo modo, el grupo explota los componentes del defensor de Windows mediante el uso de un mpcmdrun.exe renombrado, disfrazado de nombres de dominio de la empresa, junto con un mpclient malicioso.dll.
Esta técnica particular es especialmente insidiosa, ya que aprovecha los componentes del software de seguridad para entregar malware, lo que hace que la detección sea significativamente más desafiante para los equipos de seguridad.
function gg ($ path) {$ ke = ger (32); $ ig = ger (16); $ files = GCI $ Path -Recurse -include *.pdf, *.doc, *.docx, *.xls, *.xlsx foreach ($ archivo en $ archivos) {efi $ archivo $ key $ iv $ eee}}
El proceso de cifrado emplea un esquema de cifrado Hybrid RSA y AES integrado en scripts de PowerShell ofuscados.
Los archivos se encriptan utilizando claves AES generadas aleatoriamente, que luego se encriptan con una clave pública RSA integrada, lo que garantiza que el descifrado siga siendo imposible sin la clave privada correspondiente que los atacantes poseen.
El ransomware se dirige a treinta extensiones de archivos diferentes y agrega la extensión distintiva de .xlockxlock a archivos cifrados, lo que hace que el impacto inmediatamente sea visible para las víctimas al tiempo que garantiza el cifrado de datos integral en varios tipos de archivos comúnmente encontrados en entornos empresariales.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
