LockBit automatyzuje szyfrowanie domen systemu Windows


2021-07-31
Specjaliści od bezpieczeństwa ostrzegają przez nową wersją złośliwego oprogramowania LockBit 2.0, która automatyzuje interakcję i późniejsze szyfrowanie domeny Windows przy użyciu zasad grupy Active Directory. Wcześniej żaden z programów ransomware nie wykorzystywał tej metody.

LockBit po raz pierwszy pojawił się we wrześniu 2019 roku. Od tego czasu ransomware jest cały czas rozwijany, a niedawno pojawiła się jego najnowsza wersja. Badaczy cyberbezpieczeństwa szczególnie zainteresowała, a jednocześnie zaniepokoiła, możliwość automatycznej dystrybucji oprogramowania ransomware w domenie Windows bez używania skryptów. Do tej pory napastnicy włamujący się do sieci i przejmujący kontroler domeny wykorzystywali do wdrażania skryptów oprogramowanie firm trzecich, które uruchamiały ransomware na komputerach. Z próbek oprogramowania wykrytych przez MalwareHunterTeam wynika, iż złośliwe oprogramowanie zaraz po uruchomieniu tworzy nowe zasady grupy na kontrolerze domeny, które zostają następnie rozesłane do każdego urządzenia w sieci. W czasie tego procesu ransomware używa Windows Active Directory API w celu wykonywania zapytań LDAP (Lightweight Directory Access Protocol) do kontrolera domeny ADS by uzyskać listy komputerów. Korzystając z tej listy, plik wykonywalny ransomware jest skopiowany na pulpit każdego urządzenia. Zaplanowane zadanie uruchamia złośliwe oprogramowanie przy użyciu poniższego obejścia UAC (Kontrola Konta Użytkownika):

 

Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration DisplayCalibrator"

 

W związku z tym, że ransomware jest uruchamiany w ten sposób,  program działa po cichu w tle bez wysyłania ostrzeżeń z szyfrowanego urządzenia.

 

-        Znamy przypadek, kiedy MountLocker używał interfejsów Windows Active Directory API do wykonywania zapytań LDAP. Jednakże po raz pierwszy mamy do czynienia z automatyzacją dystrybucji złośliwego oprogramowania za pomocą zasad grupy. Jest to pierwsza operacja ransomware, która zautomatyzowała ten proces i umożliwia cyberprzestępcy wyłączenie programu Microsoft Defender i uruchomienie ransomware w całej sieci za pomocą jednego polecenia. – tłumaczy Dariusz Woźniak z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce. 

 

LockBit 2.0 zawiera również funkcję wykorzystywaną wcześniej przez operację Egregor Ransomware, która polega na wydrukowaniu listu dotyczącego okupu na wszystkich drukarkach sieciowych należących do ofiary ataku. 

 

Źródło: marken.com.pl ;bitdefender.pl  

Nadesłał:

Marken

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl