A continuación detallamos los indicadores de compromiso que puedes configurar en tus herramientas de ciberseguridad.
Comparte este link con tus operadores de ciberseguridad para configurarlas.
Si bien es una vulnerabilidad de W7 parchada... el código es de día cero por lo que lo mejor es bloquear su ejecución.
LB3.dll Trojan.Win32.Inject.aokvy Ransomware LockBit3/lockBit Black.
MD5 dedb956a33e7f2a6c00fb4d31d78405f
SHA-1 16d90f183da5e4a64c79d37a4aa6428fb83be3fe
SHA-256 2783dbad6d2b6f24f4f772470e1e94de83254b0526e8a620e9e5a115e30e0888
netscanold.exe Recomendamos aplicar control el aplicaciones ya que es una herramienta legítima abusada por atacantes, no recomendada para redes corporativas, salvo por profesionales de redes o ciberseguridad.
MD5 bb7c575e798ff5243b5014777253635d
SHA-1 2146f04728fe93c393a74331b76799ea8fe0269f
SHA-256 572d88c419c6ae75aeb784ceab327d040cb589903d6285bbffa77338111af14b
run1.bat Recomendamos habilitar control de protección basado en hash ya que es un script que invoca la función interna de una librería DLL infectada
MD5 a67451d66c1557201b0b5d09f654b81c
UPDATE
El CSIRT nos libera nuevos IOCs
123.cmd
SHA256: 385D4FBD3A3AAB0CFE109F0EB2626863B91EC02CEAA4C3E4C104F63CA6DC0C93
injector.exe
MD5 0d4d8f8e7f94eb20df7f9f1a6c4cac7f
SHA-1 38f17f4e23d08d70abdff022a88edd710ecb81e9
SHA-256 0da8cfba645951768b16db7707ed2c75bbbb2e396e7da6da71a9dca6ef35df17
lbb.dll
SHA256: 5EF365469867CB30F5094D668E596819BF7163411E2A92CC1D7BD117FCD11BFE
y OJO que pasan colados muchas veces, miren el detalle de análisis de virustotal:
UPDATE2.0
Nuestros asesores nos recomiendan que agreguemos otras versiones del INJECTOR
Injector v1.1.12
md5 C7E514EC03861CDC5D376D82FFA6EAEB
SHA1: 9B74973C716E06E4B46CC0A69C6AB722A32D4646
SHA256: F733438319AF6F3C7DC40B3057B1C9239FC691B0B808311BA3E5B699F22157E4