Lockbit 2.0 Ransomware

Lockbit 2.0 Ransomware Beschrijving

De LockBit Ransomware verscheen in september 2019 in het malwarelandschap, toen het werd aangeboden in een RaaS-schema (Ransomware-as-a-Service). De exploitanten van de dreiging waren op zoek naar filialen die de daadwerkelijke ransomware-aanvallen zouden uitvoeren en vervolgens de winst zouden verdelen - de filialen zouden ongeveer 70-80% van het geld incasseren, terwijl de rest aan de LockBit-makers zou worden gegeven.

De operatie is sinds de lancering behoorlijk actief gebleven, waarbij de vertegenwoordigers van de groep achter de dreiging aanwezig waren op de hackerforums. Toen verschillende prominente forums besloten afstand te nemen van ransomware-schema's en de discussies over dergelijke onderwerpen verbood, ging LockBit verder met een nieuw gecreëerde dataleksite. Daar onthulden de cybercriminelen de volgende versie van hun dreigende creatie - LockBit 2.0, die ook zou worden aangeboden als RaaS. De 2.0-versie beschikt over enorm uitgebreide schadelijke mogelijkheden, waarbij de hackers meerdere functies hebben geïntegreerd die eerder in andere ransomware-families naar voren zijn gekomen. Bovendien is de dreiging uitgerust met een nooit eerder geziene techniek waarmee het groepsbeleid kan misbruiken om Windows-domeinen automatisch te versleutelen.

LockBit 2.0's exposities nieuwe technieken

LockBit 2.0 is nog steeds ransomware, en als zodanig is het doel om zoveel mogelijk apparaten te infecteren die zijn verbonden met het geschonden netwerk, voordat de gegevens die daar zijn opgeslagen worden versleuteld en losgeld wordt geëist. In plaats van te vertrouwen op open source-tools van derden, wat de standaardpraktijk is bij deze operaties, automatiseerde LockBit 2.0 de distributie en anti-beveiligingsmaatregelen. Na uitvoering zal de dreiging verschillende nieuwe groepsbeleidsregels op de domeincontroller creëren, die vervolgens worden geleverd aan alle machines die zijn verbonden met het aangetaste netwerk. Door dit beleid kan de malware de echte-beschermingsfunctie van Microsoft Defender uitschakelen, evenals de waarschuwingen, standaardacties en de voorbeelden die gewoonlijk naar Microsoft worden verzonden bij het detecteren van een ongewenste indringer. Het stelt ook een geplande taak vast om het uitvoerbare bestand te starten.

In de volgende stap van de bewerking wordt het uitvoerbare bestand van LockBit 2.0 gekopieerd naar het bureaublad van elk gedetecteerd apparaat. De eerder gemaakte geplande taak zal deze starten door een UAC (User Account Control) bypass te implementeren. Met deze methode kan LockBit 2.0 heimelijk door zijn programmering gaan, zonder waarschuwingen te activeren die de aandacht van de gebruiker kunnen trekken.

Wanneer het coderingsproces is voltooid, activeert LockBit 2.0 een functie die eerder werd waargenomen als onderdeel van de Egregor Ransomware- bedreigingen. Het houdt in dat alle printers die op het netwerk zijn aangesloten worden gedwongen om eindeloos het losgeldbriefje van de dreiging uit te spuwen.