Перейти к содержанию

LockBit 2.0 распространяется через групповые политики


Рекомендуемые сообщения

Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.

LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.

Метод распространения LockBit 2.0

Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.

Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.

По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В мае традиционно отмечается «Всемирный день пароля», и в этом году к нему были приурочены анонсы сразу трех крупнейших технологических компаний. В этот день Google, Microsoft и Apple объявили о планах по поддержке технологии, которая позволит полностью отказаться от паролей.
      Стандарт разрабатывает альянс FIDO совместно с консорциумом W3C, который в принципе определяет то, как выглядит и работает современный Интернет. Это достаточно серьезная попытка отказаться от паролей, а вместо них использовать в качестве средства аутентификации смартфон — по крайней мере, так это выглядит с точки зрения пользователя.
      Тут стоит вспомнить, что разговоры о «смерти паролей» ведутся уже лет десять. И предыдущие попытки отказаться от такого ненадежного способа аутентификации пользователя в итоге особенно ни к чему не привели — пароли по-прежнему с нами. В этой статье мы расскажем о том, чем хорош новый стандарт FIDO и W3C. Но начнем с повторения очевидного: чем же плохи пароли?
      Что не так с паролями
      Главный и основной недостаток пароля — его достаточно легко украсть. На заре Интернета почти все коммуникации между компьютерами не были зашифрованы, пароли передавались открытым текстом. С ростом числа публичных точек доступа к Сети — в кафе, библиотеках, на транспорте — это стало реальной проблемой: злоумышленник мог перехватить незашифрованный пароль и остаться незамеченным.
      Но наиболее серьезно проблема украденных паролей встала в начале-середине 2010-х годов, когда произошла целая серия громких взломов крупных сетевых сервисов с массовой кражей почтовых адресов и паролей пользователей. Можно с уверенностью утверждать, что все ваши пароли десятилетней давности где-то лежат в открытом доступе. Не верите? Проверьте на полезном сервисе HaveIBeenPwned.
      Сервис HaveIBeenPwned позволяет проверить, встречался ли ваш пароль в одной из многочисленных утечек последних лет. Если паролю с десяток лет и больше, то результат почти наверняка будет таким

      Конечно, сейчас уже далеко не все утечки содержат пароли в открытом виде: многие владельцы сетевых сервисов давно поняли, что такой способ хранения чувствительной пользовательской информации — порочная практика. Поэтому все чаще пароли хешируются, то есть хранятся в зашифрованном виде.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Когда компания подвергается кибератаке или происходит утечка корпоративных данных, бизнес лихорадочно пытается решить две задачи: минимизировать ущерб и как можно скорее вернуться к нормальному рабочему процессу. При этом основная нагрузка ложится на команду по реагированию на инциденты.
      От грамотности и оперативности их действий зависит не только, как быстро будет найден источник проблемы, но и насколько надежно компания будет защищена от повторения инцидента. Ведь современные киберпреступники пытаются запутать расследование и уничтожить следы своего присутствия в инфраструктуре жертвы, а без точного выявления всей цепочки атаки нельзя гарантировать надежную защиту от использования тех же вредоносных тактик в будущем.
      Наши эксперты определили набор ключевых навыков, необходимых специалисту по реагированию на инциденты:
      выявление инцидента; сбор улик; анализ логов; анализ сетевой активности; создание индикаторов компрометации; исследование оперативной памяти.  
      View the full article
    • KL FC Bot
      От KL FC Bot
      18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973. О степени их опасности говорит тот факт, что в тот же день Министерство внутренней безопасности США выпустило директиву, обязывающую все федеральные агентства в течение пяти дней устранить эти уязвимости в своей инфраструктуре — путем установки заплаток, а если это невозможно, то «удаления из своей сети» затронутых продуктов VMware. Судя по всему, есть смысл последовать примеру американских госучреждений и незамедлительно установить патчи.
      Что за уязвимости?
      Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.
      Особую опасность представляет первая уязвимость, CVE-2022-22972, со степенью опасности 9,8 по шкале CVSS. Ее эксплуатация может позволить злоумышленника получить в системе права администратора без какой-либо аутентификации.
      Вторая уязвимость, CVE-2022-22973, касается повышения привилегий. Для ее эксплуатации злоумышленники должны уже иметь какие-то права в атакуемой системе, поэтому ее степень опасности несколько ниже — 7,8 по шкале CVSS. Однако к ней также следует относиться серьезно, поскольку она позволяет повысить привилегии в системе до уровня root.
      Дополнительную информацию можно найти в официальном документе FAQ, посвященном этой проблеме.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Он живет в Клермон-Ферране, в самом центре Франции. Пишет фэнтези, иногда прыгает с парашютом и старается сделать каждый день своей жизни запоминающимся. А еще он — член команды Global Research and Analysis Team (GReAT). Это подразделение экспертов «Лаборатории Касперского» исследует целевые атаки и продвинутые вредоносные программы по всему миру, раскрывая деятельность таких хакерских групп, как Carbanak, Cozy Bear и Equation.
      — Иван, твое имя сразу заставляет спросить: у тебя есть какие-то славянские корни?
      — Более или менее. Имя унаследовано от моего деда с отцовской стороны. Фамилия «Квятковский» пришла из Польши, но самое смешное, что это не собственная фамилия деда: он был приемным ребенком, так что его реальное имя и происхождение неизвестны. То есть славянские корни определенно есть, но какие именно — уже не узнать.
      — Ты анализируешь вредоносное ПО и хакерскую активность. Как можно получить такую профессию? Я сомневаюсь, что такие вещи были в списке курсов, когда ты учился в университете.
      — Да, во времена моей молодости не было еще такого вузовского предмета, как кибербезопасность, не говоря уже о каких-то специальных курсах по анализу вредоносного ПО. Честно говоря, я вообще попал в эту сферу случайно.
      В 2008 году я готовился получить диплом по программированию и планировал работать в области искусственного интеллекта. Перед поездкой в Ванкувер на стажировку мне нужно было расторгнуть договор на интернет-доступ, поскольку я не хотел оплачивать все то время, что буду за границей. Я связался с провайдером, объяснил ситуацию. Они сказали, что я должен прислать им письмо примерно за месяц до отъезда, и они обо всем позаботятся.

      Так я и сделал, и буквально через пару дней обнаружил, что Интернет уже отключен. Никогда еще в истории интернет-провайдеров запрос пользователя не обрабатывался с такой скоростью! Но шутки шутками, а для студента-компьютерщика остаться на месяц без Интернета — немыслимая перспектива. Мой провайдер не мог восстановить доступ, или, что более вероятно, им просто не хотелось. Поэтому я стал изучать уязвимости Wi-Fi, чтобы подключиться к соседской точке доступа до отъезда.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      На какие только уловки не идут мошенники, лишь бы раздобыть криптовалюту с чужого счета! Кто-то предлагает купить дефицитное майнинговое оборудование, другие заманивают подарками от криптобирж и самого Илона Маска, а иногда даже выкладывают в публичном сервисе скриншоты с паролями от чужих криптокошельков и собирают «комиссии» с польстившихся на халяву криптоинвесторов. Сегодня расскажем о новой мошеннической схеме с розыгрышем призов и еще раз напомним, почему сид-фразу от вашего кошелька нужно хранить как зеницу ока.
      Бесплатные деньги
      Как это чаще всего бывает, для потенциальной жертвы все начинается с письма. Авторы этой схемы выбрали для наживки предложение поучаствовать в раздаче кругленькой суммы в одной из криптовалют — Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tron (TRX) или Ripple (XRP). На кону в общей сложности аналог 800 миллионов долларов, шутка ли! Под описанием аттракциона невиданной щедрости — незамысловатая инструкция из трех пунктов для желающих получить бесплатной крипты и ссылка на сайт «акции».
      Присмотримся к письму. Оно подписано службой поддержки некоего Crypto Community, то есть «криптовалютного сообщества». Так вполне могло бы назвать себя, например, объединение криптоэнтузиастов. Однако домен в адресе электронной почты отправителя не имеет отношения к какому-либо крипто в принципе. Это не вызывает доверия. Текст письма составлен небрежно, со множеством ошибок и опечаток. Вероятно, мошенники рассчитывают, что девятизначная сумма настолько поразит воображение жертвы, что на изучение деталей терпения уже не хватит.
      Фишинговое письмо с предложением поучаствовать в раздаче криптовалюты
       
      View the full article
×
×
  • Создать...