Lockbit 2.0 勒索軟件

Lockbit 2.0 勒索軟件說明

LockBit 勒索軟件於 2019 年 9 月出現在惡意軟件領域,當時它以 RaaS(勒索軟件即服務)方案提供。威脅的運營者正在尋找能夠進行實際勒索軟件攻擊然後分攤利潤的附屬機構——附屬機構將獲得大約 70-80% 的資金,而其餘的將提供給 LockBit 的創建者。

該行動自啟動以來一直非常活躍,威脅背後的組織代表在黑客論壇上保持存在。當幾個著名論壇決定與勒索軟件計劃保持距離並禁止討論此類話題時,LockBit 轉向了一個新創建的數據洩漏站點。在那裡,網絡犯罪分子揭開了他們的威脅創造的下一個版本——LockBit 2.0,它也將作為 RaaS 提供。 2.0 版本擁有大量擴展的有害功能,黑客結合了以前在其他勒索軟件系列中出現的多項功能。最重要的是,該威脅配備了前所未有的技術,允許它濫用組策略來自動加密 Windows 域。

LockBit 2.0 展示新技術

LockBit 2.0 仍然是勒索軟件,因此,它的目標是在加密存儲在那裡的數據並索要贖金之前,感染盡可能多的連接到受攻擊網絡的設備。然而,LockBit 2.0 沒有依賴第三方開源工具,這是這些操作的標準做法,而是自動化了其分發和反安全措施。執行後,威脅將在域控制器上創建幾個新的組策略,然後將這些策略傳送到所有連接到受感染網絡的計算機。通過這些策略,惡意軟件能夠禁用 Microsoft Defender 的真正保護功能,以及通常在檢測到不受歡迎的入侵者時發送給 Microsoft 的警報、默認操作和示例。它還建立了一個計劃任務來啟動其可執行文件。

下一步操作會看到 LockBit 2.0 的可執行文件被複製到每個檢測到的設備的桌面。先前創建的計劃任務將通過實施 UAC(用戶帳戶控制)繞過來啟動它。這種方法允許 LockBit 2.0 悄悄地通過其編程,而不會觸發任何可能引起用戶注意的警報。

加密過程完成後,LockBit 2.0 會激活之前觀察到的作為Egregor Ransomware威脅的一部分的功能。它涉及強制連接到網絡的所有打印機無休止地發出威脅的贖金票據。