Theo Bleeping Computer, các nhà nghiên cứu đã phát hiện ra một dòng ransomware LockBit tự động mã hóa các miền Windows bằng cách tận dụng các chính sách nhóm Active Directory .
Chiến dịch ransomware LockBit bắt đầu vào tháng 9 năm 2019 dưới dạng một kế hoạch ransomware từng dịch vụ, trong đó các tác nhân đe dọa có nhiệm vụ xâm nhập mạng và mã hóa thiết bị. Đổi lại, các chi nhánh được tuyển dụng sẽ trả 70-80% tổng số tiền, 20% còn lại thuộc về những người sáng lập LockBit.
Người phát ngôn của băng đảng này thúc đẩy hoạt động của ransomware và cung cấp hỗ trợ cho các diễn đàn web của hacker. Sau khi cấm các lo ngại về Ransomware trên các diễn đàn hack, LockBit đã bắt đầu đẩy một dịch vụ ransomware mới, LockBit 2.0, trên trang web rò rỉ dữ liệu của mình.
Có vô số tính năng được LockBit 2.0 hỗ trợ, nhiều tính năng đã được sử dụng trong các chiến dịch ransomware trước đây. Nó đã được quảng cáo cho một tính năng cụ thể, vì những người sáng tạo nói rằng việc lan truyền ransomware đã được tự động hóa trên miền Windows, loại bỏ sự cần thiết của các tập lệnh.
Các bản cập nhật chính sách nhóm được tội phạm mạng sử dụng để mã hóa các máy tính trên mạng được nhắm mục tiêu
Sau khi xâm nhập vào mạng và giành được quyền kiểm soát bộ điều khiển miền, các tác nhân đe dọa sử dụng các công cụ của bên thứ ba để thực thi các tập lệnh vô hiệu hóa phần mềm chống vi-rút và sau đó khởi chạy ransomware trên các máy mạng.
Quá trình này được tự động hóa và do đó, cho phép phân phối ransomware trên nhiều miền khi nó được thực hiện trên bộ điều khiển miền. Để mã hóa dữ liệu, ransomware đặt các chính sách nhóm mới trên bộ điều khiển miền, sau đó được sao chép trên toàn mạng. Các chính sách này ngăn chặn tính năng bảo vệ theo thời gian thực của Microsoft Defender, cảnh báo, lấy mẫu tới Microsoft và các hành động mặc định để phát hiện tệp độc hại. Các chính sách nhóm bổ sung được thiết lập, bao gồm một chính sách tạo quy trình đã lên lịch trên thiết bị Windows để chạy phần mềm độc hại.
Sau đó, ransomware sẽ chạy lệnh cập nhật Group Policy trên tất cả các máy Windows. Trong quá trình hoạt động này, ransomware cũng sẽ thực hiện các truy vấn LDAP cho bộ điều khiển miền ADS và sử dụng các API của Windows Active Directory để truy xuất danh sách các máy từ bộ điều khiển miền ADS. nhiệm vụ đã lên lịch do Group Policy thiết lập sẽ khởi chạy ransomware.
Bởi vì ransomware bỏ qua Kiểm soát Tài khoản Người dùng, ứng dụng chạy trong nền không được chú ý mà không có bất kỳ cảnh báo bên ngoài nào để mã hóa thiết bị. Mặc dù MountLocker đã sử dụng tìm kiếm LDAP trong các API của Windows Active Directory, nhưng đây là lần đầu tiên ransomware có thể tự động phát tán sự lây nhiễm thông qua các chính sách nhóm.
Nguồn: https://news.softpedia.com/
