Alcuni ricercatori hanno individuato una nuova versione del ransomware LockBit 2.0, progettata per automatizzare la crittografia di un dominio Windows utilizzando i criteri di Active Directory.
Questo ransomware è anche erogato in modalità as a service dai propri creatori, lasciando agli “utilizzatori/mandanti” il 70-80% del riscatto e tenendosi il resto.
Incluse con la nuova versione di LockBit è stata rilevata una nuova funzionalità avanzata che rende gli attacchi molto più fruttuosi: la distribuzione del ransomware in un dominio Windows senza la necessità di script, ma semplicemente eseguendolo sul controller. Una volta eseguito, il ransomware crea nuovi criteri di gruppo che verranno quindi inviati a tutti i dispositivi della rete. Questi criteri:
- disabilitano la protezione in tempo reale di Microsoft Defender, gli avvisi, l’invio di alert a Microsoft in caso di rilevamento di file dannosi;
- creano un’attività pianificata sui dispositivi
- inviano l’aggiornamento dei criteri di gruppo a tutte le macchine nel dominio
Usando la chiamata Bypass User Account Control specificata nell’articolo, il programma verrà eseguito silenziosamente in background senza alcun avviso esterno sul dispositivo. Molto pericoloso!!!
Il monitoraggio continuativo delle operazioni effettuate dal ransomware in tutto il ciclo di vita del suo attacco può avvertire i sintomi e prevenire/contenere il più possibile la minaccia.