Lockbit 2.0 Ransomware'in yeni bir sürümü, Active Directory Grup İlkeleri kullanarak bir Windows etki alanının şifrelemesini otomatikleştiren bulundu.
Lockbit Ransomware operasyonu, Eylül 2019'da, tehdit aktörlerinin ağları ihlal etmek ve şifrelemek için tehdit aktörlerinin işe alındığı bir fidye yazılımı olarak başlatıldı.
Karşılığında, işe alınan iştirakler bir fidye ödemesinin% 70-80'ini kazanır ve Loctbit geliştiricileri geri kalanını korur.
Yıllar geçtikçe, fidye yazılımı operasyonu, aktiviteyi tanıtmak ve forumları kesmek için destek sağlayan çete temsilcisi ile çok aktif olmuştur.
Ransomware konuları forumları kesmek üzerine yasaklandı [1, 2], Lodbit, veri sızıntısı sitelerinde yeni Lockbit 2.0 Ransomware-AS servis işlemini tanıtmaya başladı.
Lockbit'in yeni sürümüyle birlikte, aşağıda belirtilen iki kişiyle sayısız gelişmiş özelliktir.
Lockbit 2.0, geçmişte diğer fidyeware operasyonları tarafından kullanılan birçok özelliğin uzun bir listesini teşvik ediyor.
Bununla birlikte, geliştiricilerin, geliştiricilerin, bir Windows etki alanındaki fidye yazılım dağıtımını komut dosyalarına ihtiyaç duymadan otomatik olarak otomatikleştirdiklerini iddia etti.
Tehdit aktörleri bir ağı ihlal ettiğinde ve nihayet Etki Alanı Denetleyicisinin kontrolünü ele geçirdiğinde, Antivirus'u devre dışı bırakan komut dosyalarını dağıtmak ve ardından ağdaki makineleri üzerindeki fidye yazılımını çalıştırmak için üçüncü taraf yazılımını kullanırlar.
Malwarehunterteam tarafından keşfedilen ve BleepingComputer ve Vitali Kremez tarafından analiz edilen Lockbit 2.0 Ransomware örneklerinde, tehdit aktörleri bu işlemi otomatikleştirdi, böylece bir etki alanı denetleyicisinde yürütüldüğünde fidye yazılımı kendisini bir etki alanı boyunca dağıtır.
Yürütüldüğünde, fidye yazılımı, Microsoft Defender'ın gerçek zamanlı korumasını, uyarıları devre dışı bırakan, Microsoft'a numune gönderen ve kötü amaçlı dosyaları tespit ederken varsayılan eylemleri engelleyen yeni bir Grup İlkesi güncellemesi oluşturacaktır.
Ransomware, Grup İlkesi güncellemesini Windows etki alanındaki tüm makinelere itmek için aşağıdaki komutu çalıştıracaktır.
Kremez, BleepingComputer'a bu işlem sırasında, fidye yazılımı, bir bilgisayar listesini almak için etki alanı denetleyicisinin reklamlarına karşı LDAP sorgularını gerçekleştirmek için Windows Active Directory API'lerini de kullanacağını söyledi.
Bu listeyi kullanarak, fidye yazılımı çalıştırılabilir her bir cihazın masaüstüne kopyalanacak ve aşağıdaki UAC bypass kullanarak fidye yazılımını başlatmak için zamanlanmış bir görev oluşturulur:
Ransomware bir UAC bypass kullanılarak yürütülürken, program şifrelenmiş cihazda herhangi bir dışa doğru uyarı olmadan arka planda sessizce çalışacaktır.
MountLocker daha önce Windows Active Directory API'leri kullanmış olsa da, LDAP sorgularını gerçekleştirmek için bu, bir fidye yazılımının kötü amaçlı yazılımın grup politikaları üzerinden dağıtımını otomatikleştirdik.
BleepingComputer, "Bu işlemi otomatikleştirmek için ilk fidye yazılımı işlemidir ve bir tehdit aktörünün Microsoft Defender'ı devre dışı bırakmasını ve tüm ağdaki fidye yazılımını tek bir komutla yürütmesini sağlar" dedi.
"Lockbit 2.0 Ransomware'in yeni bir sürümü, Active Directory Grup İlkeleri kullanarak bir Windows etki alanının etkileşimini ve sonraki şifrelemesini otomatikleştiren bulundu." "Kötü amaçlı yazılımlar, Active Directory'nin yerel alanlara yayılmasının yanı sıra, antivirüs olan" Pentester "operasyonları yeni kötü amaçlı yazılım operatörleri için daha kolay" Pentester "operasyonlarını devre dışı bırakan yerleşik güncelleme güncellemesi ile etkileşime girme yeni bir yaklaşım ekledi."
LOCKBIT 2.0 ayrıca, daha önce tüm ağ bağlantılı yazıcılara bombaları ransom notunu yazdıran Egregor Ransomware işlemi tarafından kullanılan bir özellik içerir.
Ransomware bir cihazı şifreleme işlemini tamamladığında, mağdurun dikkatini aşağıda gösterildiği gibi, bağlı herhangi bir ağ yazıcısına tekrar tekrar yazdıracaktır.
Perakende devi Cencosud'a karşı bir Egregor saldırısında, bu özellik, Ransom notlarının, saldırıyı yaptıktan sonra makbuz yazıcılardan çıkmasına neden oldu.
Yeni PetitPotam saldırısı, Windows Etki Alanlarının devralmasını sağlar
Genel Windows PrintNightMare 0 günlük Exploit etki alanı devralınmasına izin verir
Ransomware çeteleri şimdi ortakları işe almak için web siteleri oluşturuyor
Artık fidye 5 yılda fidye yazılımı ödemelerinde 1 milyar Euro'u kurtarmaz.
Ransomware çete, sahte tarayıcı güncellemesi ile CNA'nın ağını ihlal etti
Kaynak: Bleeping Computer