Lockbit 2.0 Ransomware

Med CagedTech i Ransomware

Oversæt til:

LockBit Ransomware opstod i malware-landskabet tilbage i september 2019, da det blev tilbudt i et RaaS-program (Ransomware-as-a-Service). Operatørerne af truslen ledte efter tilknyttede selskaber, der ville udføre de egentlige ransomware-angreb og derefter opdele overskuddet - tilknyttede virksomheder ville sække omkring 70-80% af midlerne, mens resten blev givet til LockBit-skaberne.

Operationen har været ret aktiv siden lanceringen, hvor repræsentanterne for gruppen bag truslen opretholder en tilstedeværelse på hackerforaene. Da flere fremtrædende fora besluttede at distancere sig fra ransomware-ordninger og forbød diskussionerne om sådanne emner, flyttede LockBit videre til et nyoprettet datalækningssted. Der afslørede cyberkriminelle den næste version af deres truende oprettelse - LockBit 2.0, som også ville blive tilbudt som RaaS. 2.0-versionen kan prale af massivt udvidede skadelige kapaciteter med hackere, der indeholder flere funktioner, der tidligere er opstået i andre ransomware-familier. Derudover er truslen udstyret med en aldrig før se teknik, der gør det muligt at misbruge gruppepolitikker til automatisk at kryptere Windows-domæner.

LockBit 2.0s udstiller nye teknikker

LockBit 2.0 er stadig ransomware, og som sådan er dets mål at inficere så mange enheder, der er forbundet til det brudte netværk som muligt, før de krypterer de data, der er gemt der, og kræver en løsesum. I stedet for at stole på tredjeparts open source-værktøjer, hvilket er standardpraksis i disse operationer, automatiserede LockBit 2.0 sine distributions- og antisikkerhedsforanstaltninger. Ved udførelsen vil truslen skabe flere nye gruppepolitikker på domænecontrolleren, som efterfølgende leveres til alle maskiner, der er forbundet med det kompromitterede netværk. Gennem disse politikker er malware i stand til at deaktivere den virkelige beskyttelsesfunktion i Microsoft Defender samt advarsler, standardhandlinger og prøverne, der normalt sendes til Microsoft, når de opdager en uvelkommen indtrænger. Det opretter også en planlagt opgave for at starte den eksekverbare.

Det næste trin i operationen ser den eksekverbare fil af LockBit 2.0 kopieres til skrivebordet på hver registreret enhed. Den tidligere oprettede planlagte opgave vil starte den ved at implementere en UAC (User Account Control) bypass. Denne metode gør det muligt for LockBit 2.0 at bevæge sig gennem sin programmering uden at udløse nogen advarsler, der kan tiltrække brugerens opmærksomhed.

Når krypteringsprocessen er afsluttet, aktiverer LockBit 2.0 en funktion, der tidligere blev observeret som en del af Egregor Ransomware- trusler. Det indebærer at tvinge alle printere, der er tilsluttet netværket, til at udspionere løsesumnoten for truslen uendeligt.