Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

LockBit 2.0 распространяется через групповые политики

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.

LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.

Метод распространения LockBit 2.0

Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.

Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.

По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • titusseenu
      lockbit
      Автор titusseenu
      possible?
    • TonHaw
      Зашифровали с помощью LockBit black
      Автор TonHaw
      Здравствуйте. Зашифровали несколько серверов шифровальщиком LockBitBlack. Бэкапы тоже зашифрованы
      Зашифровали за выходные, утром на принтерах были листовки о выкупе (есть во вложении)
      virus.zip
    • Nibug
      Предположительно Lockbit зашифровал файлы
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • infobez_bez
      Настройка политики карантина/сохранение связи с сервером администрирования
      Автор infobez_bez
      Здравствуйте!

      Я настраиваю политику карантина для устройств под управлением Windows в KSC. При переносе устройства в эту политику у него должна блокироваться вся сетевая активность, кроме связи с сервером администрирования.

      Проблема:
      -В политике для Linux есть опция «Всегда добавлять разрешающее правило для портов агента администрирования», но в политике для Windows такой настройки нет.
      -Я пробовал добавлять сервер администрирования в доверенные узлы, но при этом разрешались и другие локальные службы, а нужно, чтобы работала только связь с KSC.
      -Также пытался вручную прописать правила в сетевом экране для портов агента (например, 13000, 14000 TCP/UDP), но это не сработало — устройство теряло связь с сервером.

      Вопрос:
      Как правильно настроить политику карантина для Windows, чтобы:
      -Устройство имело доступ только к серверу администрирования KSC.
      -Все остальные сетевые соединения (включая локальные службы) блокировались.
      -Устройство могло получать обновления политик (например, при выходе из карантина).
      -Нужна ли дополнительная настройка сетевого экрана или есть скрытые параметры, аналогичные функционалу для Linux?

      KSC 14.2
×
×
  • Создать...