Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новая версия LockBit шифрует домены Windows с помощью групповых политик

29/07/21

hack52-2Новая версия вымогательского ПО LockBit 2.0 теперь автоматизирует шифрование доменов Windows с помощью групповых политик Active Directory.

Операции с использованием LockBit начались в сентябре 2019 года. Разработчики шифровальщика распространяли его по схеме «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS) и вербовали партнеров, взламывавших сети и шифровавших устройства. Партнеры оставляли себе 70-80% от уплаченного жертвами выкупа, а разработчики получали оставшееся.

С тех пор операции с использованием LockBit проводились весьма активно. Группировка рекламировала свой сервис на хакерских форумах и обеспечивала своим партнерам техподдержку. После того, как на киберпреступных форумах вымогательское ПО было запрещено, разработчики шифровальщика стали рекламировать новую версию LockBit 2.0 на своем сайте утечек.

LockBit 2.0 получил целый ряд новых функций, сообщил Виталий Кремез из MalwareHunterTeam. По словам разработчиков, они автоматизировали распространение вымогателя по всему домену Windows без использования скриптов. После проникновения в сеть и получения контроля над контроллером домена с помощью стороннего ПО злоумышленники развертывают скрипты, отключающие антивирусные решения, а затем запускают LockBit 2.0 на машинах в сети. Разработчики автоматизировали этот процесс, так что вымогатель теперь распространяется по домену при выполнении на контроллере домена.

При выполнении LockBit 2.0 создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети. Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов Microsoft и действия по умолчанию при обнаружении вредоносных файлов.

Также создаются другие групповые политики, в том числе для создания запланированной задачи на устройствах Windows, запускающих исполняемый файл вымогателя. LockBit 2.0 также использует API Windows Active Directory для запросов LDAP к ADS контроллера домена для получения списка компьютеров.

С помощью этого списка исполняемый файл вымогателя будет копируется на рабочий стол каждого устройства, а запланированная задача, настроенная групповыми политиками, запускает LockBit 2.0.

Новая версия вымогателя также получила функцию, ранее использовавшуюся вымогательским ПО Egregor, - печать записки с требованием выкупа на всех подключенных к сети принтерах.

Темы:WindowsУгрозыКиберугрозыLockBit
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...