LockBit automatyzuje szyfrowanie domen systemu Windows

LockBit po raz pierwszy pojawił się we wrześniu 2019 roku. Od tego czasu ransomware jest cały czas rozwijany, a niedawno pojawiła się jego najnowsza wersja. Badaczy cyberbezpieczeństwa szczególnie zainteresowała, a jednocześnie zaniepokoiła, możliwość automatycznej dystrybucji oprogramowania ransomware w domenie Windows bez używania skryptów. Do tej pory napastnicy włamujący się do sieci i przejmujący kontroler domeny wykorzystywali do wdrażania skryptów oprogramowanie firm trzecich, które uruchamiały ransomware na komputerach. Z próbek oprogramowania wykrytych przez MalwareHunterTeam wynika, iż złośliwe oprogramowanie zaraz po uruchomieniu tworzy nowe zasady grupy na kontrolerze domeny, które zostają następnie rozesłane do każdego urządzenia w sieci. W czasie tego procesu ransomware używa Windows Active Directory API w celu wykonywania zapytań LDAP (Lightweight Directory Access Protocol) do kontrolera domeny ADS by uzyskać listy komputerów. Korzystając z tej listy, plik wykonywalny ransomware jest skopiowany na pulpit każdego urządzenia. Zaplanowane zadanie uruchamia złośliwe oprogramowanie przy użyciu poniższego obejścia UAC (Kontrola Konta Użytkownika):

Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration „DisplayCalibrator"

W związku z tym, że ransomware jest uruchamiany w ten sposób,  program działa po cichu w tle bez wysyłania ostrzeżeń z szyfrowanego urządzenia.

• Znamy przypadek, kiedy MountLocker używał interfejsów Windows Active Directory API do wykonywania zapytań LDAP. Jednakże po raz pierwszy mamy do czynienia z automatyzacją dystrybucji złośliwego oprogramowania za pomocą zasad grupy. Jest to pierwsza operacja ransomware, która zautomatyzowała ten proces i umożliwia cyberprzestępcy wyłączenie programu Microsoft Defender i uruchomienie ransomware w całej sieci za pomocą jednego polecenia. – tłumaczy Dariusz Woźniak z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce. 

LockBit 2.0 zawiera również funkcję wykorzystywaną wcześniej przez operację Egregor Ransomware, która polega na wydrukowaniu listu dotyczącego okupu na wszystkich drukarkach sieciowych należących do ofiary ataku. 

Źródło: marken.com.pl ; bitdefender.pl