Перейти к содержанию

LockBit 2.0 распространяется через групповые политики


Рекомендуемые сообщения

Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.

LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.

Метод распространения LockBit 2.0

Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.

Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.

По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Защита информационных систем аэропорта от киберинцидентов — задача нетривиальная. Здесь даже сравнительно небольшой сбой может привести к всеобщему хаосу, задержкам рейсов и искам от недовольных пассажиров. Иллюстрацией может служить инцидент 2016 года со сбоем компьютерной системы Delta Airlines, в результате которого сотни тысяч людей по всему миру столкнулись с непредвиденными сложностями. Именно поэтому злоумышленникам периодически приходит в голову выбрать своей целью именно аэропорт.
      Отдельный интерес для преступников представляет информация пассажиров: в системах аэропорта могут оказаться не только данные из документов путешествующих, но и их платежная информация. А это проблема не только для клиентов, но и для самого аэропорта: современные законы по защите персональных данных весьма строги к организациям, которые не смогли обеспечить должный уровень защиты: аэропорт Heathrow был оштрафован на 120 000 фунтов всего лишь за утерю флешки со служебной информацией, включающей данные нескольких сотрудников службы безопасности.
      Самые громкие киберинциденты в аэропортах
      Летом 2017 года, во время глобальной эпидемии шифровальщика ExPetr (он же NotPetya или PetrWrap), пострадал и киевский аэропорт Борисполь. Отключился официальный веб-сайт вместе с онлайновым табло. Ряд рейсов пришлось отложить. Целью еще одной атаки шифровальщика-вымогателя стал международный аэропорт Хартсфилд-Джексон Атланта. В марте 2018 он был вынужден отключить свой веб-сайт и рекомендовать пассажирам обращаться за информацией непосредственно к авиакомпаниям. Более того, для предотвращения распространения заразы ему пришлось отключить сеть Wi-Fi, что создало дополнительные сложности пассажирам. Под Рождество 2019 года Интернациональный аэропорт Олбани (Albany International Airport) был атакован шифровальщиком-вымогателем. В тот раз атака не затронула работу самого аэропорта, да и данные пассажиров, судя по всему, не пострадали — злоумышленникам удалось зашифровать только внутреннюю документацию (вместе с резервными копиями). Администрации пришлось согласиться на требования злоумышленников и заплатить выкуп. В апреле 2020 года Международный аэропорт Сан-Франциско также был атакован: неизвестным удалось скомпрометировать несколько сайтов аэропорта и инжектировать в них вредоносный код, собирающий учетные данные пользователей. Неизвестно, до какой информации пытались добраться злоумышленники (и добрались ли), но сотрудники аэропорта сбросили пароли к почте и сети.  
      View the full article
    • От Deadman
      что такое клабы и как их накопить?

      Ура, мы отпраздновали маленький юбилей Kaspersky Club - целых 15 лет! 
       
      Приглашаем всех участников поездки выкладывать здесь фотографии и делиться благодарностями и впечатлениями! 😀
       
      Instagram от @Meravigliosaaa: https://www.instagram.com/p/CTKdDEeDtHK/
      Instagram от @7Glasses: https://www.instagram.com/p/CTUUGCDCcxD/
       
      Смонтированное видео: 
       
       
      Фото от:
       
      @dkhilobok: https://box.kaspersky.com/d/df3bce01a54b4fea9ff2/
      @Deadman: https://photos.app.goo.gl/oBYejp46KCJdBwxA7
      @kmscom: https://cloud.mail.ru/public/QSCG/xetMgcwdL
      @den: https://mfd.sk/AmLpA9h2RMEcmx759_ovnkGr
      @SaiTa: https://disk.yandex.by/d/fR12Qqor6DLtCg
      @kilo: https://disk.yandex.ru/d/7Fl1XZsipZ3nzw
      @7Glasses: https://drive.google.com/drive/folders/1zkEyAC6Vl5_rtb4SFm4mcSsrW34JbITD
      @oit: https://drive.google.com/file/d/1jkhpgptakjyjFHNXWp1i1koaSqIniUPZ/view
      @Demiad: https://1drv.ms/a/s!AtGaXkACab2VhuxnyPs5FfpSiyJZAg
      @Mrak: https://cloud.mail.ru/public/gPeU/CrpvzcyUA
       
      Фото из офиса Kaspersky от @dkhilobok: https://box.kaspersky.com/d/c902f3f9c7ba44558ec7/
       
      Общая ссылка на все предыдущие 11 источников от @Mrak: https://1drv.ms/f/s!AsfFGlR4zTsump9T1a9Vmq1eVaTbVQ (13 ГБ) (Предположительно будет доступна до середины декабря 2021)
       
      Ссылки на облако или архивы будут постепенно добавлены в шапку темы.
      Добавляйте также сюда ссылки на ваши посты в Instagram, Twitter, VK, Facebook и т. д.
       

    • От KL FC Bot
      Если вы пользуетесь приложением-аутентификатором, то на случай потери (поломки, кражи и так далее) телефона разумно заранее создать резервную копию. Это можно сделать несколькими способами — выбор зависит от ваших личных предпочтений, а также от того, каким именно приложением-аутентификатором вы собираетесь пользоваться. Перечислим все доступные варианты.
      Вручную сохранить в надежном месте секретные ключи или QR-коды
      Одноразовые коды в приложении-аутентификаторе создаются на основе секретного ключа. Его генерирует сервис, когда вы включаете аутентификацию с помощью приложения. Этот ключ представляет собой случайное сочетание 16 символов, и он же закодирован в QR-коде, который сервис предлагает вам отсканировать.
      В принципе, секретный ключ можно даже выучить наизусть, но проще всего будет сохранить его в каком-нибудь надежном месте. Например, для этого подойдут защищенные заметки в менеджере паролей. Альтернативный вариант представления того же секретного ключа, QR-код, можно сохранить в виде изображения и также поместить в защищенное хранилище Kaspersky Password Manager, но уже в виде картинки.
      Если вам когда-нибудь понадобится восстановить аутентификатор, вы просто отсканируете приложением QR-код или введете вручную 16 символов секретного ключа.
       
      View the full article
    • От KL FC Bot
      Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux вообще не имеет смысла защищать. Считалось, что и архитектура у системы изначально практически неуязвимая, и злоумышленникам она не очень-то интересна, да и идеология открытого исходного кода служит своего рода гарантией против неожиданного появления серьезных уязвимостей. В последние годы всем здравомыслящим безопасникам стало очевидно, что все три эти утверждения далеки от истины.
      Угрозы серверам под Linux
      Пока киберпреступность специализировалась исключительно на зарабатывании денег за счет конечных пользователей, серверы под Linux действительно были в относительной безопасности. Но современные злоумышленники уже давно переключились на бизнес — это позволяет им получать гораздо большую прибыль с каждой успешной атаки. И вот тут-то различные сборки Linux удостоились серьезного внимания. Ведь сервер стратегически интересен любому атакующему, ставит ли тот целью шпионаж, саботаж или банальное распространение шифровальщика. За примерами далеко ходить не надо.
      В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux. Зловред адаптирован для целевых атак на конкретные организации (код и записка о выкупе каждый раз модифицируются под новую цель). На тот момент несколько крупных организаций уже были атакованы этим трояном. Обнаруженный летом этого года шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс мессенджера Telegram. Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под управлением Linux. В результате выяснилось, что практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты. Отдельные риски несут в себе уязвимости. Да, действительно, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».
       
      View the full article
    • От KL FC Bot
      Задача любого защитного решения — обеспечивать безопасность системы и сообщать пользователю об угрозах. А что делать, если вместо зловреда антивирус блокирует безобидную программу или без причины бьет тревогу во время сканирования? Возможно, вы столкнулись с ложноположительным срабатыванием.
      Как показывают независимые тесты, наши решения крайне редко поднимают ложную тревогу, но иногда такое все же случается. В таком случае не нужно отключать антивирус — это поставит ваш компьютер под угрозу. Лучше добавить приложение, в котором вы уверены, в список исключений. Рассказываем, как это сделать в решениях «Лаборатории Касперского» для домашних пользователей.
      В чем разница между доверенными программами и добавлением в исключения
      Мы хотим, чтобы пользователям было удобно работать с нашими программами. Поэтому в наших самых популярных решениях — Kaspersky Internet Security, Kaspersky Total Security и Kaspersky Security Cloud — исключения настраиваются одинаково. Но прежде чем перейти к подробным инструкциям, позволим себе отступление, чтобы вам было легче понять, что именно вы будете делать дальше.
      Современные защитные решения подходят к защите комплексно: они не только проверяют (при антивирусном сканировании и перед запуском), нет ли чего-то вредоносного в коде программ, но еще и следят за подозрительными действиями установленных в системе программ.
      Такие дополнительные проверки нужны потому, что злоумышленники в стремлении обойти защиту иногда засылают на компьютеры вполне безобидные приложения, которые позже скачивают более опасных товарищей, а также создают зловредов, которые долго «спят», прежде чем начать подрывную деятельность.
      Поэтому наши разработчики разделили настройки для этих двух типов проверок:
      Чтобы антивирус не блокировал запуск приложения из-за подозрительных действий, надо сделать его доверенной программой. А чтобы антивирус перестал ругаться на программу при сканировании, ее надо добавить в исключения. Теперь подробнее о том, где и как можно настроить обе эти опции в Kaspersky Internet Security, Kaspersky Total Security или Kaspersky Security Cloud.
       
      View the full article
×
×
  • Создать...