Шифровальщик, распространяющийся через групповые политики

Шифровальщик LockBit 2.0 умеет распространяться по локальной сети при помощи групповых политик через захваченный контроллер домена.

Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.

LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.

Метод распространения LockBit 2.0

Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.

Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.

По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.

Как защититься от подобных угроз?

Первым делом следует помнить, что контроллер домена — точно такой же сервер под управлением Microsoft Windows, как и любой другой. Следовательно, он также нуждается в защите. В нашем арсенале, например, есть решение Kaspersky Security для Windows Server, входящее в состав большинства наших защитных решений для бизнеса. Оно может эффективно защитить любой сервер под управлением Windows от большинства современных угроз.

Кроме того, распространение шифровальщика через групповые политики — это уже практически последний этап атаки. В теории заметить активность злоумышленников можно гораздо раньше — на этапе первичного проникновения в сеть или же при попытках захвата контроля над контроллером домена. Особенно эффективны в выявлении признаков такой атаки решения класса Managed Detection and Response.

Ну и самое главное — для первичного проникновения злоумышленники часто используют приемы социальной инженерии и фишинговые письма. Для того чтобы ваши сотрудники не попадались на такие уловки, стоит периодически повышать их осведомленность о современных угрозах.

Советы