勒索軟件 LockBit 2.0能通過在被劫持的域控制器上創建組策略,在本地網絡中傳播。
之前,勒索軟件的制造成了一種地下黑產,有着技術支持服務、新聞中心以及廣告活動。與其他任何行業一樣,想創造出有競爭力的產品就要不斷改進。例如,LockBit 先於其他網絡犯罪組織同行,宣布自己能通過域控制器自動感染本地計算機。
LockBit 遵循勒索軟件即服務(RaaS)模型,為其客戶(實際發動攻擊的人)提供基礎設施和惡意程序,然后收取一部分贖金分紅。攻入受害者網絡是承包商的義務,就勒索軟件在整個網絡中的分發而言,LockBit 設計出了一種相當有趣的技術。
█ LockBit 2.0 的分發
根據 Bleeping Computer 報道,在攻擊者取得網絡訪問權限,進入域控制器之后,會在域控制器上運行惡意軟件,創建新的用戶組策略,然后將其自動推送給網絡中的每一台設備。策略首先會禁用操作系統的內置安全技術,隨后其他策略會在所有 Windows 計算機上創建一個計划任務,運行勒索軟件的可執行文件。
Bleeping Computer 援引研究員 Vitali Kremez 的話說,勒索軟件使用 Windows Active Directory API 執行輕量級目錄訪問協議(LDAP)查詢,獲取計算機列表。隨后,LockBit 2.0繞過用戶帳戶控制(UAC)並靜默運行,不會在正被加密的設備上觸發任何警報。
很明顯,這是史上第一個通過用戶組策略傳播的批發型惡意軟件。除此之外,LockBit 2.0遞送勒索信的方式相當異想天開,它會讓連接到網絡的所有打印機把勒索信給印出來。
█ 怎樣才能保護自己的公司免受類似威脅?
請記住,域控制器其實是一台 Windows 服務器,因此需要加以保護。網絡安全解決方案 - Windows Server,與我們的大多數企業端點安全解決方案配套提供,能保護運行 Windows 的服務器免受當下的大多數威脅,您可以用它來充實自己的武器庫。
但是,出現通過組策略傳播的勒索軟件,意味着攻擊進入了最終階段。惡意活動應該早點加以注意,比如當攻擊者第一次進入網絡或試圖劫持域控制器時,就應該注意到。托管檢測和響應解決方案,能高效檢測出此類攻擊的蛛絲馬跡。
最重要的是,網絡犯罪分子經常通過社會工程學技術和釣魚郵件來獲得初始訪問權限。為了防止您的員工落入這種陷阱,請定期培訓以提高他們的網絡安全意識。