Lockbit 2.0 Ransomware

К CagedTech году в Ransomware году

Перевести на:

Программа-вымогатель LockBit появилась на рынке вредоносных программ еще в сентябре 2019 года, когда она была предложена по схеме RaaS (Ransomware-as-a-Service). Операторы угрозы искали партнеров, которые будут проводить фактические атаки программ-вымогателей, а затем делить прибыль - филиалы получат около 70-80% средств, а остальное будет отдано создателям LockBit.

Операция оставалась достаточно активной с момента ее запуска, при этом представители группы, стоящей за угрозой, сохраняют присутствие на хакерских форумах. Когда несколько известных форумов решили дистанцироваться от схем вымогателей и запретили обсуждение таких тем, LockBit перешел на недавно созданный сайт утечки данных. Там киберпреступники представили следующую версию своего угрожающего творения - LockBit 2.0, который также будет предлагаться как RaaS. Версия 2.0 может похвастаться значительно расширенными вредоносными возможностями: хакеры включают в себя множество функций, которые ранее появились в других семействах программ-вымогателей. Вдобавок к этому угроза оснащена невиданной ранее техникой, которая позволяет ей злоупотреблять групповыми политиками для автоматического шифрования доменов Windows.

LockBit 2.0 демонстрирует новые методы

LockBit 2.0 по-прежнему является программой-вымогателем, и поэтому ее цель - заразить как можно больше устройств, подключенных к взломанной сети, прежде чем зашифровать хранящиеся там данные и потребовать выкуп. Однако вместо того, чтобы полагаться на сторонние инструменты с открытым исходным кодом, что является стандартной практикой в этих операциях, LockBit 2.0 автоматизировал их распространение и меры защиты. После своего выполнения угроза создаст на контроллере домена несколько новых групповых политик, которые впоследствии будут доставлены на все машины, подключенные к скомпрометированной сети. С помощью этих политик вредоносное ПО может отключить функцию реальной защиты Microsoft Defender, а также предупреждения, действия по умолчанию и образцы, которые обычно отправляются в Microsoft при обнаружении нежелательного злоумышленника. Он также устанавливает запланированную задачу для запуска своего исполняемого файла.

На следующем этапе операции исполняемый файл LockBit 2.0 копируется на рабочий стол каждого обнаруженного устройства. Ранее созданная запланированная задача инициирует его путем реализации обхода UAC (Контроль учетных записей пользователей). Этот метод позволяет LockBit 2.0 незаметно выполнять свое программирование, не вызывая никаких предупреждений, которые могут привлечь внимание пользователя.

Когда процесс шифрования завершится, LockBit 2,0 активирует функцию , которая была ранее наблюдаемую в рамках Эгрегор вымогателей угроз. Он включает в себя принуждение всех принтеров, подключенных к сети, бесконечно извергать записку с требованием выкупа.