Lockbit 2.0 Ransomware

Lockbit 2.0 Ransomware Opis

Ransomware LockBit pojawił się w krajobrazie złośliwego oprogramowania już we wrześniu 2019 r., kiedy był oferowany w schemacie RaaS (Ransomware-as-a-Service). Operatorzy zagrożenia szukali partnerów, którzy przeprowadziliby faktyczne ataki oprogramowania ransomware, a następnie podzieliliby zyski – podmioty stowarzyszone zgarnęłyby około 70-80% środków, podczas gdy reszta zostałaby przekazana twórcom LockBit.

Operacja pozostaje dość aktywna od momentu jej rozpoczęcia, a przedstawiciele grupy stojącej za zagrożeniem są obecni na forach hakerskich. Kiedy kilka znanych forów postanowiło zdystansować się od programów ransomware i zakazało dyskusji na takie tematy, LockBit przeniósł się na nowo utworzoną stronę wycieku danych. Tam cyberprzestępcy ujawnili kolejną wersję swojego groźnego dzieła - LockBit 2.0, który będzie oferowany również jako RaaS. Wersja 2.0 oferuje znacznie rozszerzone szkodliwe możliwości, a hakerzy zawierają wiele funkcji, które pojawiły się wcześniej w innych rodzinach oprogramowania ransomware. Co więcej, zagrożenie jest wyposażone w niespotykaną dotąd technikę, która pozwala mu nadużywać zasad grupy w celu automatycznego szyfrowania domen Windows.

LockBit 2.0 prezentuje nowatorskie techniki

LockBit 2.0 nadal jest oprogramowaniem ransomware i jako taki, jego celem jest zainfekowanie jak największej liczby urządzeń podłączonych do naruszonej sieci, przed zaszyfrowaniem przechowywanych tam danych i zażądaniem okupu. Jednak zamiast polegać na narzędziach open-source innych firm, co jest standardową praktyką w tych operacjach, LockBit 2.0 zautomatyzował swoją dystrybucję i zabezpieczenia. Po uruchomieniu zagrożenie utworzy kilka nowych zasad grupowych na kontrolerze domeny, które zostaną następnie dostarczone do wszystkich komputerów podłączonych do zaatakowanej sieci. Dzięki tym zasadom złośliwe oprogramowanie może wyłączyć funkcję rzeczywistej ochrony programu Microsoft Defender, a także alerty, domyślne działania i próbki zwykle wysyłane do firmy Microsoft po wykryciu niepożądanego intruza. Ustanawia również zaplanowane zadanie, aby uruchomić swój plik wykonywalny.

W kolejnym kroku operacji plik wykonywalny LockBit 2.0 jest kopiowany na Pulpit każdego wykrytego urządzenia. Wcześniej utworzone zaplanowane zadanie zainicjuje je poprzez wdrożenie obejścia UAC (Kontrola konta użytkownika). Ta metoda umożliwia LockBit 2.0 potajemne poruszanie się po programowaniu, bez wyzwalania jakichkolwiek alertów, które mogłyby przyciągnąć uwagę użytkownika.

Po zakończeniu procesu szyfrowania LockBit 2.0 aktywuje funkcję, która była wcześniej obserwowana jako część zagrożeń Egregor Ransomware. Polega ona na zmuszaniu wszystkich drukarek podłączonych do sieci, aby bez końca wyrzucały żądanie okupu z zagrożeniem. ,