MalwareHunterTeam和 BleepingComputer 的研究人员以及恶意软件专家 Vitali Kremez 报告称,他们发现了新版本的 LockBit 2.0 勒索软件,该软件使用 ActiveDirectory 组策略加密 Windows 域。Kramez 解释说,这是第一个自动执行此过程的勒索软件。
与其他勒索软件操作一样,LockBit 2.0 实施了勒索软件即服务模型并维护了一个附属网络。
LockBit 勒索软件于 2019 年 9 月首次出现在威胁领域,该恶意软件的作者多年来对其进行了改进,实施了新功能并为其附属机构提供支持。
在黑客论坛上禁止勒索软件广告后,LockBit 运营商建立了自己的泄密网站,宣传最新变种并宣传 LockBit 2.0 附属程序。
泄漏站点提供了在新变体中实现的功能列表,其中最有趣的是使用组策略更新来加密 Windows 域的功能。
这意味着一旦攻击者获得了对目标网络的访问权并破坏了域控制器,勒索软件就能够在域内传播。
勒索软件将在域控制器上创建新的组策略,并将其推送到 Windows 域中的所有计算机。
这些策略禁用安全措施,例如 Microsoft Defender 和警报,并阻止操作系统向 Microsoft 提交样本以避免检测。
以下是BleepingComputer 共享的策略:
[General]
Version=%s
displayName=%s
[SoftwarePoliciesMicrosoftWindowsDefender;DisableAntiSpyware]
[SoftwarePoliciesMicrosoftWindowsDefenderReal-Time Protection;DisableRealtimeMonitoring]
[SoftwarePoliciesMicrosoftWindowsDefenderSpynet;SubmitSamplesConsent]
[SoftwarePoliciesMicrosoftWindowsDefenderThreats;Threats_ThreatSeverityDefaultAction]
[SoftwarePoliciesMicrosoftWindowsDefenderThreatsThreatSeverityDefaultAction]
[SoftwarePoliciesMicrosoftWindowsDefenderThreatsThreatSeverityDefaultAction]
[SoftwarePoliciesMicrosoftWindowsDefenderThreatsThreatSeverityDefaultAction]
[SoftwarePoliciesMicrosoftWindowsDefenderThreatsThreatSeverityDefaultAction]
[SoftwarePoliciesMicrosoftWindowsDefenderUX Configuration;Notification_Suppress]
勒索软件通过在 Windows 系统上创建计划任务来实现持久性。
LockBit 2.0 实现的另一个功能是对赎金票据进行打印轰炸,专家们已经观察到Egregor Ransomware团伙实现的这个功能。
在泄漏站点上发布的功能列表下方:
原文始发于微信公众号(飞雪 SecurityBlog):LockBit 2.0,第一个使用组策略加密 Windows 域的勒索软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论