Kilka dni temu znaleziono nową wersję ransomware LockBit 2.0, która automatyzuje szyfrowanie domeny Windows Active Directory przy użyciu nowatorskiej metody w Group Policy. Za odkrycie i opisanie tej zależności odpowiada Malware Hunter Team.
Kampanie z ransomware LockBit zostały uruchomione już we wrześniu 2019 r. jako „ransomware as a service” w której cyberprzestępcy są rekrutowani do włamywania się do sieci i szyfrowania urządzeń. W zamian zrekrutowani partnerzy zarabiają 70-80% okupu, a programiści LockBit zatrzymują resztę.
Przez lata operacje tego ransomware były bardzo aktywne, a przedstawiciel gangu promował aktywności i udzielał wsparcia na forach hakerskich. Po tym, jak tematy ransomware zostały zbanowane na forach, LockBit zaczął promować nową operację ransomware jako usługę LockBit 2.0 na swojej dedykowanej stronie, gdzie publikuje również wycieki danych.
Notka informacyjna LockBit 2.0
Jak już wspominaliśmy, ransomware sprzedawany jest na „czarnym rynku” (czyli w sieci Tor) jako usługa. Posiada swoją własną stronę internetową z marketingowym opisem, zupełnie jak każde normalne oprogramowanie sprzedawane jako software.
Na stronie LockBit 2.0 możemy przeczytać:
Ransomware LockBit 2.0 to program partnerski, który tymczasowo wznowił nabór nowych członków i partnerów.
Program trwa od września 2019 r. Jest zaprojektowany w językach pochodzenia C i ASM. Szyfrowanie jest realizowane w częściach przez port zakończenia (1/0), algorytm szyfrowania to AES + ECC. W ciągu dwóch lat nikomu nie udało się go odszyfrować.
Niezrównanymi korzyściami są szybkość szyfrowania i funkcja samorozprzestrzeniania się.
Jedyne, co musisz zrobić, to uzyskać dostęp do corowego serwera, podczas gdy LockBit 2.0 zajmie się całą resztą. Uruchomienie realizowana jest na wszystkich urządzeniach sieci domenowej w przypadku uprawnień administratora na kontrolerze domeny.
Najważniejsze funkcje i korzyści:
- panel administratora w systemie Tor;
- komunikacja z firmą przez Tor, czat z powiadomieniami PUSH;
- automatyczne deszyfrowanie testowe;
- automatyczne wykrywanie deszyfratora;
- skaner portów w podsieciach lokalnych, wykrywa wszystkie udziały DFS, SMB, WebDav;
- automatyczna dystrybucja w sieci domen w czasie wykonywania bez konieczności stosowania skryptów;
- zakończenie przeszkadzających usług i procesów;
- blokowanie uruchamiania procesów, które mogą zniszczyć proces szyfrowania;
- ustawianie praw do plików i usuwanie atrybutów blokujących;
- usuwanie kopii w tle;
- tworzenie ukrytych partycji, przeciąganie i upuszczanie plików i folderów;
- usuwanie logów i samooczyszczanie;
- tryb pracy z okienkiem lub ukryty;
- uruchomienie komputerów wyłączonych przez Wake-on-Lan;
- wydruk notki okupu na drukarkach sieciowych;
- dostępne dla wszystkich wersji systemu operacyjnego Windows;
Wykorzystanie GPO do propagacji
LockBit 2.0 promuje długą listę funkcji, z których wiele było używanych w przeszłości przez inne rodzaje ransomware. Jest jednak jedna promowana funkcja, w której twórcy twierdzą, że zautomatyzowali dystrybucję oprogramowania ransomware w domenie Windows bez potrzeby stosowania skryptów.
Gdy cyberprzestępcy włamują się do sieci i ostatecznie uzyskują kontrolę nad kontrolerem domeny, wykorzystują oprogramowanie innych firm do wdrażania skryptów, które wyłączają oprogramowanie antywirusowe, a następnie uruchamiają oprogramowanie ransomware na komputerach w sieci.
W próbkach oprogramowania ransomware LockBit 2.0 wykrytych przez MalwareHunterTeam i przeanalizowanych przez BleepingComputer, cyberprzestępcy zautomatyzowali ten proces, dzięki czemu ransomware rozprzestrzenia się w całej domenie po uruchomieniu na kontrolerze.
Po wystartowaniu ransomware tworzy nowe zasady grupy na kontrolerze domeny, które zostaną następnie rozesłane do każdego urządzenia w sieci.
Te zasady wyłączają ochronę w czasie rzeczywistym, alerty, przesyłanie próbek do firmy Microsoft i domyślne działania programu Microsoft Defender podczas wykrywania złośliwych plików, jak pokazano poniżej:
[General] Version=%s displayName=%s [Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware] [Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring] [Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent] [Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]
Tworzone są też inne polityki, w tym jedna do tworzenia zaplanowanego zadania na urządzeniach z systemem Windows, które uruchamiają plik wykonywalny ransomware.
Oprogramowanie ransomware uruchomi następujące polecenie, aby przesłać aktualizację zasad grupy do wszystkich komputerów w domenie Windows:
– powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}”
BleepingComputer twierdzi, że podczas tego procesu oprogramowanie ransomware będzie również wykorzystywać interfejsy API Windows Active Directory do wykonywania zapytań LDAP do kontrolera domeny w celu uzyskania listy komputerów. Korzystając z tej listy, plik wykonywalny ransomware zostanie skopiowany na pulpit każdego urządzenia, a zaplanowane zadanie automatycznie uruchomi go przy użyciu poniższego obejścia UAC:
– Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration “DisplayCalibrator”
Ponieważ ransomware będzie uruchamiane przy użyciu obejścia UAC, program będzie działał cicho w tle bez żadnego ostrzeżenia zewnętrznego na szyfrowanym urządzeniu.
„Jest to pierwsza operacja ransomware, która zautomatyzowała ten proces i umożliwia cyberprzestępcy wyłączenie programu Microsoft Defender i uruchomienie ransomware w całej sieci za pomocą jednego polecenia” – powiedział Kremez z BleepingComputer.
„Znaleziono nową wersję ransomware LockBit 2.0, która automatyzuje interakcję i późniejsze szyfrowanie domeny Windows przy użyciu zasad grupy Active Directory”.
„Złośliwe oprogramowanie dodało nowatorskie podejście polegające na interakcji z Active Directory propagującym oprogramowanie ransomware do domen lokalnych, a także wbudowaną aktualizację globalnej polityki z wyłączeniem antywirusa (…)”.