Lockbit 2.0 Ransomware

Lockbit 2.0 Ransomware Beskrivning

LockBit Ransomware uppstod i malware-landskapet tillbaka i september 2019, då det erbjöds i ett RaaS-system (Ransomware-as-a-Service). Operatörerna av hotet letade efter dotterbolag som skulle utföra de faktiska ransomware-attackerna och sedan dela upp vinsten - dotterbolagen skulle tappa omkring 70-80% av medlen medan resten skulle ges till LockBit-skaparna.

Operationen har varit ganska aktiv sedan lanseringen, med företrädarna för gruppen bakom hotet som upprätthåller en närvaro på hackforum. När flera framstående forum beslutade att distansera sig från ransomwareprogram och förbjöd diskussionerna om sådana ämnen, flyttade LockBit vidare till en nyskapad webbplats för dataläckage. Där avslöjade cyberkriminella nästa version av deras hotande skapande - LockBit 2.0, som också skulle erbjudas som RaaS. 2.0-versionen har massivt utökade skadliga funktioner med hackare som innehåller flera funktioner som har dykt upp i andra ransomware-familjer tidigare. Dessutom är hotet utrustat med en aldrig tidigare sett teknik som gör det möjligt att missbruka grupprinciper för att automatiskt kryptera Windows-domäner.

LockBit 2.0 visar nya tekniker

LockBit 2.0 är fortfarande ransomware, och som sådant är dess mål att infektera så många enheter som är anslutna till det trasiga nätverket som möjligt innan de krypterar de data som lagras där och kräver en lösen. Istället för att förlita sig på verktyg från öppen källkod från tredje part, vilket är standardpraxis i dessa operationer, automatiserade LockBit 2.0 dess distribution och antisäkerhetsåtgärder. När det körs kommer hotet att skapa flera nya grupprinciper på domänkontrollanten, som sedan levereras till alla maskiner som är anslutna till det komprometterade nätverket. Genom dessa policyer kan skadlig programvara inaktivera den verkliga skyddsfunktionen i Microsoft Defender, liksom varningar, standardåtgärder och proverna som vanligtvis skickas till Microsoft när de upptäcker en oönskad inkräktare. Det upprättar också en schemalagd uppgift för att starta den körbara filen.

Nästa steg i operationen ser att den körbara filen av LockBit 2.0 kopieras till skrivbordet för varje upptäckt enhet. Den tidigare skapade schemalagda uppgiften initierar den genom att implementera en UAC (User Account Control) förbikoppling. Denna metod gör det möjligt för LockBit 2.0 att gå igenom sin programmering smygande utan att utlösa några varningar som kan locka användarens uppmärksamhet.

När krypteringsprocessen är klar aktiverar LockBit 2.0 en funktion som tidigare observerades som en del av Egregor Ransomware- hoten. Det handlar om att tvinga alla skrivare som är anslutna till nätverket för att oavbrutet lösenordet för hotet.