Lockbit 2.0 Ransomware

Por CagedTech em Ransomware

Traduzir Para:

O LockBit Ransomware surgiu no cenário do malware em setembro de 2019, quando foi oferecido em um esquema RaaS (Ransomware-como-um-Serviço). Os operadores da ameaça procuravam afiliados que realizassem os ataques reais de ransomware e, em seguida, dividissem os lucros - os afiliados iriam conservar cerca de 70-80% dos fundos, enquanto o restante seria entregue aos criadores do LockBit.

A operação manteve-se bastante ativa desde o seu lançamento, com os representantes do grupo por trás da ameaça mantendo uma presença nos fóruns de hackers. Quando vários fóruns importantes decidiram se distanciar dos esquemas de ransomware e proibiram as discussões de tais tópicos, o LockBit mudou para um site de vazamento de dados recém-criado. Lá, os cibercriminosos revelaram a próxima versão de sua criação ameaçadora - LockBit 2.0, que também seria oferecido como RaaS. A versão 2.0 ostenta recursos prejudiciais massivamente expandidos com os hackers incorporando vários recursos que surgiram em outras famílias de ransomware anteriormente. Além disso, a ameaça está equipada com uma técnica nunca antes vista que permite abusar das políticas de grupo para criptografar domínios do Windows automaticamente.

O LockBit 2.0 Exibe Novas Técnicas

O LockBit 2.0 ainda é um ransomware e, como tal, seu objetivo é infectar o maior número possível de dispositivos conectados à rede violada, antes de criptografar os dados armazenados e exigir um resgate. No entanto, em vez de depender de ferramentas de código aberto de terceiros, que é a prática padrão nessas operações, o LockBit 2.0 automatizou sua distribuição e medidas anti-segurança. Após sua execução, a ameaça criará várias novas políticas de grupo no controlador de domínio, que serão entregues a todas as máquinas conectadas à rede comprometida posteriormente. Por meio dessas políticas, o malware é capaz de desabilitar o recurso de proteção real do Microsoft Defender, bem como os alertas, ações padrão e as amostras normalmente enviadas à Microsoft ao detectar um intruso indesejado. Ele também estabelece uma tarefa agendada para iniciar seu executável.

A próxima etapa da operação vê o arquivo executável do LockBit 2.0 sendo copiado na área de trabalho de cada dispositivo detectado. A tarefa agendada criada anteriormente irá iniciá-la implementando um desvio UAC (Controle de Conta de Usuário). Esse método permite que o LockBit 2.0 se mova furtivamente por sua programação, sem acionar nenhum alerta que possa atrair a atenção do usuário.

Quando o processo de criptografia é concluído, o LockBit 2.0 ativa um recurso que foi observado anteriormente como parte das ameaças do Egregor Ransomware. Ele envolve forçar todas as impressoras conectadas à rede a cuspir indefinidamente a nota de resgate da ameaça.