Lockbit 2.0 勒索软件

Lockbit 2.0 勒索软件说明

LockBit 勒索软件于 2019 年 9 月出现在恶意软件领域,当时它以 RaaS(勒索软件即服务)方案提供。威胁的运营者正在寻找能够进行实际勒索软件攻击然后分摊利润的附属公司——附属公司将获得大约 70-80% 的资金,而其余的将交给 LockBit 的创建者。

该行动自启动以来一直非常活跃,威胁背后的组织代表在黑客论坛上保持存在。当几个著名的论坛决定与勒索软件计划保持距离并禁止讨论此类话题时,LockBit 转向了一个新创建的数据泄漏站点。在那里,网络犯罪分子揭开了他们的威胁创造的下一个版本——LockBit 2.0,它也将作为 RaaS 提供。 2.0 版本拥有大量扩展的有害功能,黑客结合了以前在其他勒索软件系列中出现的多项功能。最重要的是,该威胁配备了前所未有的技术,允许它滥用组策略来自动加密 Windows 域。

LockBit 2.0 展示新技术

LockBit 2.0 仍然是勒索软件,因此,它的目标是在加密存储在那里的数据并索要赎金之前,感染尽可能多的连接到受攻击网络的设备。然而,LockBit 2.0 没有依赖第三方开源工具,这是这些操作的标准做法,而是自动化了其分发和反安全措施。执行后,威胁将在域控制器上创建几个新的组策略,然后将这些策略传送到所有连接到受感染网络的计算机。通过这些策略,恶意软件能够禁用 Microsoft Defender 的真正保护功能,以及通常在检测到不受欢迎的入侵者时发送给 Microsoft 的警报、默认操作和示例。它还建立了一个计划任务来启动其可执行文件。

下一步操作会看到 LockBit 2.0 的可执行文件被复制到每个检测到的设备的桌面。先前创建的计划任务将通过实施 UAC(用户帐户控制)绕过来启动它。这种方法允许 LockBit 2.0 悄悄地通过其编程,而不会触发任何可能引起用户注意的警报。

加密过程完成后,LockBit 2.0 会激活之前观察到的作为Egregor Ransomware威胁的一部分的功能。它涉及强制所有连接到网络的打印机无休止地发出威胁的赎金票据。