Ransomware LockBit automatizza la distribuzione del malware

Una nuova versione del ransomware LockBit automatizza la distribuzione del malware tramite criteri di gruppo di Active Directory. A fine lavoro, stampa la richiesta di riscatto su tutte le stampanti di rete connesse.

Business Vulnerabilità
Il micidiale Ransomware-as-a-Service LockBit evolve in una versione 2.0 che automatizza la crittografia di un dominio Windows utilizzando i criteri di gruppo di Active Directory. Così facendo gli attaccanti possono disabilitare Microsoft Defender ed eseguire il ransomware sull'intera rete con un singolo comando, senza bisogno di script.

Nei campioni del ransomware LockBit 2.0 scoperti dal MalwareHunterTeam è stato possibile rilevare le nuove funzionalità avanzate. Agli attaccanti è sufficiente entrare nella rete target e mettere le mani sul controller di dominio. Una volta che il ransomware viene eseguito su un controller di dominio, crea autonomamente nuovi criteri di gruppo per diffondere il malware su tutti gli endpoint del dominio.

I criteri disabilitano la protezione in tempo reale di Microsoft Defender, gli alert, l'invio di segnalazioni a Microsoft e tutte quelle azioni predefinite che vengono svolte a seguito della rilevazione di file dannosi. Quindi vengono creati altri criteri di gruppo, tra cui uno che predispone un'attività pianificata su tutti i dispositivi Windows che avvia l'eseguibile del ransomware.
antimalware nel 2020 parola ordine intelligenza artificiale
Il ransomware esegue quindi il comando powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}" per distribuire l'aggiornamento dei criteri di gruppo a tutti i computer nel dominio di Windows.

Come riporta BleepingComputer, durante questo processo il ransomware utilizzerà anche API di Windows Active Directory per eseguire query LDAP sul controller di dominio al fine di ottenere un elenco dei computer collegati. È proprio usando questo elenco che l'eseguibile ransomware verrà copiato sul desktop di ogni endopint e l'attività pianificata configurata dai criteri di gruppo avvierà il ransomware utilizzando un bypass UAC del controllo dell'account utente. Grazie a quest'ultimo trucco, il programma viene eseguito in background senza alcun alert e i dati vengono crittografati.

Lo sfruttamento delle API di Windows Active Directory per eseguire query LDAP non è un inedito: in passato MountLocker ne aveva fatto uso. Tuttavia, è la prima volta che un ransomware automatizza la distribuzione del malware tramite criteri di gruppo. Una facilitazione importante, che probabilmente è stata pensata proprio per gli affiliati, che spesso hanno poca esperienza.

Le richieste di riscatto escono dalle stampanti di rete


LockBit 2.0 include anche una funzione precedentemente utilizzata dal ransomware Egregor: le richieste di riscatto vengono stampate dalle stampanti di rete dell'azienda vittima. Quando il ransomware termina di crittografare un endpoint, viene inviato il comando di stampa a tutte le stampanti di rete connesse per attirare l'attenzione della vittima. L'episodio si era visto durante l'attacco a Cencosud da parte di Egregor.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori