ransomware
Tworzenie oprogramowania ransomware stało się przemysłem podziemnym już jakiś czas temu, oferując pomoc techniczną, działy prasowe i kampanie reklamowe. Podobnie jak w przypadku każdej innej branży, stworzenie konkurencyjnego produktu wymaga ciągłego doskonalenia. Na przykład LockBit to najnowszy produkt ugrupowania cyberprzestępczego, oferujący automatyzację infekcji na komputerach lokalnych za pośrednictwem kontrolera domeny.
LockBit jest oparty na modelu ransomware jako usługa, dzięki czemu zapewniają swoim klientom (rzeczywistym napastnikom) infrastrukturę i szkodliwe oprogramowanie, a w zamian wymaga udziału w okupie. Za włamanie się do sieci ofiary odpowiedzialny jest kontrahent, a jeśli chodzi o dystrybucję ransomware w sieci, LockBit stosuje dość interesującą technologię.
Dystrybucja LockBit 2.0
Jak poinformował magazyn Bleeping Computer, gdy atakujący uzyskają dostęp do sieci i dotrą do kontrolera domeny, uruchamiają na nim szkodliwe oprogramowanie i tworzą nowe zasady grupowe dla użytkowników, które są następnie automatycznie dostarczane do każdego urządzenia w sieci. W pierwszej kolejności nowe polecenia wyłączają wbudowane w system operacyjny zabezpieczenia, po czym na wszystkich komputerach z systemem Windows tworzą zaplanowane zadanie polegające na uruchomieniu pliku wykonywalnego ransomware.
Bleeping Computer cytuje badacza Witalija Kremeza, który twierdzi, że ransomware wykorzystuje interfejs API usługi Windows Active Directory do wykonywania zapytań LDAP (Lightweight Directory Access Protocol), dzięki czemu uzyskuje listę komputerów. Następnie LockBit 2.0 omija kontrolę konta użytkownika (UAC) i działa potajemnie, tak aby nie uruchamić na zaszyfrowanym urządzeniu żadnego alertu.
Wygląda na to, że jest to pierwszy w historii przypadek rozprzestrzeniania się masowego szkodliwego oprogramowania za pośrednictwem zasad grupowych dla użytkowników. Ponadto LockBit 2.0 w dość specyficzny sposób informuje o żądaniu okupu, drukując notatkę poprzez wszystkie drukarki podłączone do sieci.
Jak chronić firmę przed podobnymi zagrożeniami?
Kontroler domeny jest tak naprawdę serwerem z systemem Windows, dlatego wymaga odpowiedniego zabezpieczenia. W ramach strategii ochrony firmy powinno więc znaleźć się niezawodne rozwiązanie — np. Kaspersky Security for Windows Server, które jest dostarczane z większością naszych rozwiązań zabezpieczających dla punktów końcowych dla firm i chroni serwery z systemem Windows przed najnowocześniejszymi zagrożeniami.
Jednak ransomware rozprzestrzeniające się za pośrednictwem zasad grupowych stanowi ostatni etap ataku. Szkodliwa aktywność powinna zostać dostrzeżona znacznie wcześniej, na przykład gdy osoby atakujące uzyskują po raz pierwszy dostęp do sieci lub próbują przejąć kontrolę nad kontrolerem domeny.
Co najważniejsze, aby uzyskać dostęp do sieci firmowej, cyberprzestępcy często korzystają z socjotechniki i phishingu poprzez pocztę e-mail. Jeśli chcesz uchronić pracowników przed takimi sztuczkami, zwiększ ich świadomość cyberbezpieczeństwa dzięki regularnym szkoleniom.
Porady