Ransomware LockBit 2.0 szyfruje domeny Windows za pomocą GPO

Notka informacyjna LockBit 2.0

Jak już wspominaliśmy, ransomware sprzedawany jest na „czarnym rynku” (czyli w sieci Tor) jako usługa. Posiada swoją własną stronę internetową z marketingowym opisem, zupełnie jak każde normalne oprogramowanie sprzedawane jako software. Na stronie LockBit 2.0 możemy przeczytać:

Ransomware LockBit 2.0 to program partnerski, który tymczasowo wznowił nabór nowych członków i partnerów. Program trwa od września 2019 r. Jest zaprojektowany w językach pochodzenia C i ASM. Szyfrowanie jest realizowane w częściach przez port zakończenia (1/0), algorytm szyfrowania to AES + ECC. W ciągu dwóch lat nikomu nie udało się go odszyfrować. Niezrównanymi korzyściami są szybkość szyfrowania i funkcja samorozprzestrzeniania się. Jedyne, co musisz zrobić, to uzyskać dostęp do corowego serwera, podczas gdy LockBit 2.0 zajmie się całą resztą. Uruchomienie realizowana jest na wszystkich urządzeniach sieci domenowej w przypadku uprawnień administratora na kontrolerze domeny.

Najważniejsze funkcje i korzyści:

• panel administratora w systemie Tor;
• komunikacja z firmą przez Tor, czat z powiadomieniami PUSH;
• automatyczne deszyfrowanie testowe;
• automatyczne wykrywanie deszyfratora;
• skaner portów w podsieciach lokalnych, wykrywa wszystkie udziały DFS, SMB, WebDav;
• automatyczna dystrybucja w sieci domen w czasie wykonywania bez konieczności stosowania skryptów;
• zakończenie przeszkadzających usług i procesów;
• blokowanie uruchamiania procesów, które mogą zniszczyć proces szyfrowania;
• ustawianie praw do plików i usuwanie atrybutów blokujących;
• usuwanie kopii w tle;
• tworzenie ukrytych partycji, przeciąganie i upuszczanie plików i folderów;
• usuwanie logów i samooczyszczanie;
• tryb pracy z okienkiem lub ukryty;
• uruchomienie komputerów wyłączonych przez Wake-on-Lan;
• wydruk notki okupu na drukarkach sieciowych;
• dostępne dla wszystkich wersji systemu operacyjnego Windows;

Wykorzystanie GPO do propagacji

LockBit 2.0 promuje długą listę funkcji, z których wiele było używanych w przeszłości przez inne rodzaje ransomware. Jest jednak jedna promowana funkcja, w której twórcy twierdzą, że zautomatyzowali dystrybucję oprogramowania ransomware w domenie Windows bez potrzeby stosowania skryptów.

Gdy cyberprzestępcy włamują się do sieci i ostatecznie uzyskują kontrolę nad kontrolerem domeny, wykorzystują oprogramowanie innych firm do wdrażania skryptów, które wyłączają oprogramowanie antywirusowe, a następnie uruchamiają oprogramowanie ransomware na komputerach w sieci.

W próbkach oprogramowania ransomware LockBit 2.0 wykrytych przez MalwareHunterTeam i przeanalizowanych przez BleepingComputer, cyberprzestępcy zautomatyzowali ten proces, dzięki czemu ransomware rozprzestrzenia się w całej domenie po uruchomieniu na kontrolerze. Po wystartowaniu ransomware tworzy nowe zasady grupy na kontrolerze domeny, które zostaną następnie rozesłane do każdego urządzenia w sieci. Te zasady wyłączają ochronę w czasie rzeczywistym, alerty, przesyłanie próbek do firmy Microsoft i domyślne działania programu Microsoft Defender podczas wykrywania złośliwych plików, jak pokazano poniżej:

[General] Version=%s displayName=%s [Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware] [Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring] [Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent] [Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]

Tworzone są też inne polityki, w tym jedna do tworzenia zaplanowanego zadania na urządzeniach z systemem Windows, które uruchamiają plik wykonywalny ransomware.

Oprogramowanie ransomware uruchomi następujące polecenie, aby przesłać aktualizację zasad grupy do wszystkich komputerów w domenie Windows:

– powershell.exe -Command „Get-ADComputer -filter * -Searchbase '%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}”

BleepingComputer twierdzi, że podczas tego procesu oprogramowanie ransomware będzie również wykorzystywać interfejsy API Windows Active Directory do wykonywania zapytań LDAP do kontrolera domeny w celu uzyskania listy komputerów. Korzystając z tej listy, plik wykonywalny ransomware zostanie skopiowany na pulpit każdego urządzenia, a zaplanowane zadanie automatycznie uruchomi go przy użyciu poniższego obejścia UAC:

– Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration „DisplayCalibrator”

Ponieważ ransomware będzie uruchamiane przy użyciu obejścia UAC, program będzie działał cicho w tle bez żadnego ostrzeżenia zewnętrznego na szyfrowanym urządzeniu.

„Jest to pierwsza operacja ransomware, która zautomatyzowała ten proces i umożliwia cyberprzestępcy wyłączenie programu Microsoft Defender i uruchomienie ransomware w całej sieci za pomocą jednego polecenia” – powiedział Kremez z BleepingComputer.

„Znaleziono nową wersję ransomware LockBit 2.0, która automatyzuje interakcję i późniejsze szyfrowanie domeny Windows przy użyciu zasad grupy Active Directory”.

„Złośliwe oprogramowanie dodało nowatorskie podejście polegające na interakcji z Active Directory propagującym oprogramowanie ransomware do domen lokalnych, a także wbudowaną aktualizację globalnej polityki z wyłączeniem antywirusa (…)”.