Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

mercoledì 28 luglio 2021
Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Del ransomware Lockbit abbiamo già parlato qualche tempo fa perchè è stato ripetutamente in diffusione in Italia. In diffusione già dal Settembre 2019, ha subito varie evoluzioni ed è attualmente approdato alla forma organizzativa del ransomware as a service. Negli anni è stato piuttosto attivo, mentre i suoi gestori sono molto attenti sia alla promozione del servizio sia a fornire supporto.

Qualche mese fa però c’è stato un cambiamento: alcuni dei principali forum di hacking, solitamente utilizzati dai gruppi ransomware per promuoversi e per cercare nuovi affiliati, hanno iniziato a bannare e rimuovere gli annunci collegati ai RaaS. Sulla scia di quanto deciso dai gestori di Exploit (uno dei principali forum di hacking), la scelta è stata giustificata dal fatto che i gruppi ransomware, attaccando indiscriminatamente in tutto il mondo, “attraggono troppa attenzione”. Dopo l’attacco ransomware al Colonial Pipeline, ma anche ospedali, scuole ed enti pubblici / governativi è difficile dare loro torto. Lockbit ha subito questo trattamento assieme a “colleghi” di altrettanta fama come REvil, Darkside, Netwalker ecc…

Dal momento del ban, il gruppo di Lockbit ha iniziato a promuovere il nuovo servizio RaaS LockBit 2.0 sfruttando direttamente il proprio sito di leak.

Il sito di leak di LockBit 2.0

Quali sono le novità?

LockBit 2.0 prevede una lunga serie di novità e numerose funzionalità avanzate. Molte di queste sono già state presenti in altre operazioni ransomware del passato, ma una di queste è molto preoccupante: gli sviluppatori hanno infatti affermato di aver automatizzato la distribuzione del ransomware sfruttando i domini Windows senza necessità di script.
Solitamente, quando gli attaccanti riescono ad accedere una rete e a prendere il controllo del controller di dominio, utilizzano un software di terze parti per distribuire script capaci di disabilitare le soluzioni antivirus: così viene disabilitato Windows Defender e quindi viene eseguito il ransomware sulle macchine in rete. La versione di LockBit analizzata recentemente da Vitali Kremez ha automatizzato completamente questo processo, così il ransomware può “auto-diffondersi” attraverso un dominio quando eseguito sul controller.

Una volta eseguito, LockBit crea nuove policy di gruppo sul controller di dominio: policy che sono poi distribuite e imposte a tutti i dispositivi nella rete. Queste non fanno altro che disabilitare la protezione in tempo reale di Windows Defender, gli alert, l’invio dei campioni a Microsoft e tutte le azioni di default quando sono individuati file dannosi.

Fonte: bleepingcomputer.com
Sono create anche ulteriori policy, compresa una per la creazione di attività pianificate sui dispositivi Windows per lanciare l’eseguibile del ransomware.

L’altra novità è l’uso di API di Windows Active Directory per eseguire query LDAP: questa tecnica è utilizzata per produrre una lista dei computer. Usando questa lista, l’eseguibile del ransomware verrà copiato nel desktop di ogni macchina, quindi l’attività pianificata configurata nella policy di gruppo si occuperà di lanciare il ransomware usando una precisa tecnica di bypass dell’User Account Control.

Se alcune tecniche e funzionalità di LockBit non sono affatto nuove, va sottolineato come questo sia il primo ransomware che è riuscito ad automatizzare la distribuzione del malware tramite policy di gruppo, garantendo la possibilità di disabilitare Windows Defender ed eseguire il ransomware sull’intera rete con un singolo comando.

Stampanti impazzite
Il nuovo LockBit ha anche una funzionalità già vista col ransomware Egregor: una volta che il ransomware ha finito di criptare i dispositivi in rete, inizierà a stampare a ripetizione la nota di riscatto su ogni stampante connessa in rete. Nel caso in cui una vittima non si sia ancora accorta dell’attacco subito…

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy