Новая версия LockBit шифрует домены Windows с помощью групповых политик

[Artifact]

Разработчики автоматизировали распространение своего вымогателя по всему домену Windows без использования скриптов.

Новая версия вымогательского ПО LockBit 2.0 теперь автоматизирует шифрование доменов Windows с помощью групповых политик Active Directory.
Операции с использованием LockBit начались в сентябре 2019 года. Разработчики шифровальщика распространяли его по схеме «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS) и вербовали партнеров, взламывавших сети и шифровавших устройства. Партнеры оставляли себе 70-80% от уплаченного жертвами выкупа, а разработчики получали оставшееся.
С тех пор операции с использованием LockBit проводились весьма активно. Группировка рекламировала свой сервис на хакерских форумах и обеспечивала своим партнерам техподдержку. После того, как на киберпреступных форумах вымогательское ПО было запрещено, разработчики шифровальщика стали рекламировать новую версию LockBit 2.0 на своем сайте утечек.
LockBit 2.0 получил целый ряд новых функций, сообщил Виталий Кремез из MalwareHunterTeam. По словам разработчиков, они автоматизировали распространение вымогателя по всему домену Windows без использования скриптов. После проникновения в сеть и получения контроля над контроллером домена с помощью стороннего ПО злоумышленники развертывают скрипты, отключающие антивирусные решения, а затем запускают LockBit 2.0 на машинах в сети. Разработчики автоматизировали этот процесс, так что вымогатель теперь распространяется по домену при выполнении на контроллере домена.
При выполнении LockBit 2.0 создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети. Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов Microsoft и действия по умолчанию при обнаружении вредоносных файлов.
Также создаются другие групповые политики, в том числе для создания запланированной задачи на устройствах Windows, запускающих исполняемый файл вымогателя. LockBit 2.0 также использует API Windows Active Directory для запросов LDAP к ADS контроллера домена для получения списка компьютеров.
С помощью этого списка исполняемый файл вымогателя будет копируется на рабочий стол каждого устройства, а запланированная задача, настроенная групповыми политиками, запускает LockBit 2.0.
Новая версия вымогателя также получила функцию, ранее использовавшуюся вымогательским ПО Egregor, - печать записки с требованием выкупа на всех подключенных к сети принтерах.