Новая версия шифровальщика LockBit 2.0
автоматизирует отключение антивирусов и распространение исполняемых файлов
шифровальщика по всем системам внутри домена Windows. Но злоумышленникам в любом
случае придется сперва получить административные права на контроллере.
Автоматизация вреда
Новая версия известного шифровальщика LockBit 2.0 содержит функцию, которая позволяет автоматизировать распространение вредоноса по всему домену Windows, используя групповые политики Active Directory.
Как правило, если злоумышленникам удается скомпрометировать контроллер домена, они используют то или иное ПО для загрузки скриптов, отключающих антивирусы и запускающих шифровальщик на всех машинах в сети.
Однако в новых сэмплах LockBit 2.0, которые удалось проанализировать экспертам издания Bleeping Computer и эксперту Виталию Кремецу, этот процесс автоматизирован: вредонос запускает соответствующие процессы прямо с доменного контроллера.
Для этого он создает новые групповые политики, которые распространяются по всем устройствам, принадлежащим домену. Политики деактивируют защиту Windows Defender и его уведомления, отключают отправку подозрительных сэмплов в Microsoft и другие операции, совершаемые по умолчанию при обнаружении вредоносных файлов.
Другие политики формируют задачу в планировщике заданий по запуску шифровальщика. Затем запускается команда на распространение этих политик по всем машинам в домене: powershell.exe -Command «Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}».
По данным Кремеца, в ходе этого процесса вредонос пытается использовать APIActiveDirectory для отправки LDAP-запросов к доменным службам, чтобы получить список компьютеров. Исполняемый файл шифровальщика размещается на рабочих столах каждой машины из этого списка и запускается, используя следующую процедуру обхода UAC: SoftwareMicrosoftWindowsNTCurrentVersionICMCalibration «DisplayCalibrator».
Тихая работа, громкое извещение
Шифровальщик функционирует в фоновом режиме, не выдавая себя ничем до окончания процедуры. Зато когда процесс завершен, LockBit 2.0 оповещает о себе через все доступные в сетевом окружении принтеры — многократно распечатывает требование выкупа. То же самое прежде делал шифровальщик Egregor.
Эксперты утверждают, что впервые видят вымогательскую программу, автоматизирующую процесс своего распространения через групповые политики и отключение защитных средств.
«Этот вредонос, тем не менее, требует предварительной компрометации контроллера домена Windows, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Рекламируемая функциональность шифровальщика обширна, но, к счастью, это не тот случай, когда вредонос “все сделает за вас”. Хотя автоматизация распространения и отключения антивирусов делает его намного опаснее других подобных программ. Скорее всего, эту функцию вскоре попытаются перенять другие шифровальщики».
Операторы LockBit 2.0 с недавних пор снова начали активно приглашать участников в свои партнёрские программы. Поскольку на крупнейших хакерских форумах запретили рекламировать шифровальщики, LockBit зазывает новых партнеров прямо через свой сайт утечек.
LockBit 2.0 предлагается по модели RaaS и рекламируется как «самый быстрый шифровальщик в мире».