ГлавнаябезопасностьПрограмма-вымогатель LockBit: шифрует домены Windows с помощью групповых политик.

Программа-вымогатель LockBit: шифрует домены Windows с помощью групповых политик.

Обнаружена новая версия программы-вымогателя LockBit 2.0, которая автоматизирует шифрование домена Windows с помощью групповых политик Active Directory.

LockBit Ransomware

Бизнес-вымогатель LockBit начался в сентябре 2019 года как программа-вымогатель как услуга, в которой агенты-вымогатели вербуются для взлома сети и шифрования устройств.

Взамен наемные партнеры зарабатывают 70-80% выкупа, а разработчики LockBit оставляют себе остальное.

На протяжении многих лет компания-вымогатель была очень активна, ее представитель продвигал эту деятельность и оказывал поддержку хакерским форумам.

См. Также: Программа-вымогатель Kaseya REvil: компания получила ключ дешифрования

После запрета программ-вымогателей на форумах, посвященных вторжению, LockBit начал продвигать на сайте утечки новую функцию «вымогатель как услуга» LockBit 2.0.

Новая версия LockBit включает множество дополнительных функций, две из которых описаны ниже.

Использует обновление групповой политики для сетевого шифрования

Когда злоумышленники проникают в сеть и в конечном итоге получают контроль над контроллером домена, они используют стороннее программное обеспечение для разработки сценариев, которые отключают антивирус, а затем запускают программы-вымогатели. компьютеры сеть.

В образцах программы-вымогателя LockBit 2.0, обнаруженной MalwareHunterTeam и проанализированной BleepingComputer и Виталием Кремезом, злоумышленники автоматизировали этот процесс, чтобы программа-вымогатель распространялась в домен при запуске на контроллере домена.

При запуске программа-вымогатель создаст новые групповые политики на контроллере домена, которые затем будут перенаправлены на каждое устройство в сети.

Эти политики отключают защиту Microsoft Defender в реальном времени, предупреждения, отправку образцов в Microsoft и действия по обнаружению вредоносных программ по умолчанию.

Создаются другие групповые политики, в том числе одна для создания запланированной работы на устройствах Windows, запускающих программу-вымогатель.

См. Также: Атака программ-вымогателей Grief в муниципалитете Салоники - Чего хотят хакеры?

Затем программа-вымогатель выполнит следующую команду, чтобы перенаправить обновление групповой политики на все компьютеры домена Windows.

LockBit Ransomware

Кремез сообщил BleepingComputer, что во время этого процесса вымогатель также будет использовать API-интерфейсы Windows Active Directory для выполнения запросов LDAP к контроллеру домена ADS для получения списка компьютеров.

Используя этот список, исполняемая программа-вымогатель будет скопирована на рабочий стол каждого устройства, и запланированная работа, установленная групповыми политиками, запустит программу-вымогатель с использованием обхода UAC, показанного ниже:

LockBit Ransomware

Поскольку программа-вымогатель будет работать с использованием обхода UAC, программа будет работать в фоновом режиме без вывода сообщений.

Хотя ранее MountLocker использовал API-интерфейсы Windows Active Directory для выполнения запросов LDAP, мы впервые увидели, что программа-вымогатель автоматизирует распространение вредоносных программ с помощью групповых политик.

См. Также: Программа-вымогатель Babuk Locker: сайт банды полон порно изображений / гифок

Записка о выкупе печатается на всех сетевых принтерах.

LockBit 2.0 также включает функцию, которая ранее использовалась этой функцией. Egregor Ransomware, который распечатывает записку о выкупе на всех сетевых принтерах.

После того, как вымогатель завершит шифрование устройства, оно будет многократно печатать записку о выкупе на любом подключенном сетевом принтере, чтобы привлечь внимание жертвы, как показано ниже.

LockBit Ransomware

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ