Перейти к содержанию

LockBit 2.0 распространяется через групповые политики


Рекомендуемые сообщения

Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.

LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.

Метод распространения LockBit 2.0

Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.

Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.

По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jafar_e
      От Jafar_e
      Поймали паразита который зашифровал все файлы кроме программ и скриптов. С помощью ПО отловили нахождение.
      К компьютеру в был подключен NAS - результат зашифрован весь архив рабочий.
      В приложении образцы зашифрованных файлов, зловреда, отчет FRST и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.
      pass: virus
      Mimik.zip
    • ZOLkinA
      От ZOLkinA
      Друзья, выручайте!
      имеется три политики (1,2,3).и две группы управляемых устройств (1,2)
      Все три активны. Все три НЕ имеют наследия.
      1 политика -для автономных АРМ.
      2 политика -для группы 2
      3 политика -для группы 3
      Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?
       
       
    • АлександрК879
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • Soft619
      От Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • Мимохожий
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
×
×
  • Создать...