LockBit ransomware ahora cifra dominios de Windows mediante políticas de grupo

Iniciado por Dragora, Julio 28, 2021, 07:10:24 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Se ha encontrado una nueva versión del ransomware LockBit 2.0 que automatiza el cifrado de un dominio de Windows mediante políticas de grupo de Active Directory.

La operación de ransomware LockBit se lanzó en septiembre de 2019 como un ransomware como servicio, donde los actores de amenazas son reclutados para violar redes y cifrar dispositivos.

A cambio, los afiliados reclutados ganan entre el 70 y el 80% del pago de un rescate y los desarrolladores de LockBit se quedan con el resto.

A lo largo de los años, la operación de ransomware ha sido muy activa, con un representante de la pandilla promoviendo la actividad y brindando apoyo en foros de piratería.

Después de que los temas de ransomware fueran prohibidos en los foros de piratería [ 1 , 2 ], LockBit comenzó a promover la nueva operación de ransomware como servicio LockBit 2.0 en su sitio de filtración de datos.

Características del programa de afiliados LockBit 2.0

Con la nueva versión de LockBit se incluyen numerosas funciones avanzadas, dos de las cuales se describen a continuación.

Utiliza la actualización de la política de grupo para cifrar la red

LockBit 2.0 promueve una larga lista de características, muchas de las cuales fueron utilizadas por otras operaciones de ransomware en el pasado.

Sin embargo, una característica promocionada se destacó donde los desarrolladores afirman haber automatizado la distribución de ransomware en un dominio de Windows sin la necesidad de scripts.

Cuando los actores de amenazas violan una red y finalmente obtienen el control del controlador de dominio, utilizan software de terceros para implementar scripts que deshabilitan el antivirus y luego ejecutan el ransomware en las máquinas de la red.

En muestras del ransomware LockBit 2.0 descubiertas por  MalwareHunterTeam  y analizadas por BleepingComputer y  Vitali Kremez , los actores de amenazas han automatizado este proceso para que el ransomware se distribuya a través de un dominio cuando se ejecuta en un controlador de dominio.

Cuando se ejecuta, el ransomware creará nuevas políticas de grupo en el controlador de dominio que luego se envían a todos los dispositivos de la red.

Estas políticas deshabilitan la protección en tiempo real de Microsoft Defender, las alertas, el envío de muestras a Microsoft y las acciones predeterminadas al detectar archivos maliciosos, como se muestra a continuación.



Se crean otras políticas de grupo, incluida una para crear una tarea programada en dispositivos Windows que inician el ejecutable ransomware.

El ransomware ejecutará el siguiente comando para enviar la actualización de la política de grupo a todas las máquinas del dominio de Windows.


Kremez le dijo a BleepingComputer que durante este proceso, el ransomware también usará las API de Windows Active Directory para realizar consultas LDAP contra el ADS del controlador de dominio para obtener una lista de computadoras.

Al usar esta lista, el ejecutable del ransomware se copiará en el escritorio de cada dispositivo y la tarea programada configurada por las políticas de grupo iniciará el ransomware utilizando la omisión de UAC a continuación:


Como el ransomware se ejecutará mediante una omisión de UAC, el programa se ejecutará silenciosamente en segundo plano sin ninguna alerta externa sobre el dispositivo que se está cifrando.

Si bien MountLocker había utilizado anteriormente las API de Windows Active Directory para realizar consultas LDAP, esta es la primera vez que vemos un ransomware automatizar la distribución del malware a través de políticas de grupo.

"Esta es la primera operación de ransomware que automatiza este proceso y permite que un actor de amenazas deshabilite Microsoft Defender y ejecute el ransomware en toda la red con un solo comando", dijo Kremez a BleepingComputer.

"Se ha encontrado una nueva versión del ransomware LockBit 2.0 que automatiza la interacción y el cifrado posterior de un dominio de Windows mediante políticas de grupo de Active Directory".

"El malware agregó un enfoque novedoso de interacción con el directorio activo que propaga el ransomware a los dominios locales, así como una política global de actualización incorporada con la desactivación del antivirus, lo que facilita las operaciones de" pentester "para los nuevos operadores de malware".

LockBit 2.0 print bombs impresoras de red

LockBit 2.0 también incluye una función utilizada anteriormente por la operación Egregor Ransomware que imprime bombas de la nota de rescate a todas las impresoras en red.

Cuando el ransomware haya terminado de cifrar un dispositivo, imprimirá repetidamente la nota de rescate en cualquier impresora de red conectada para llamar la atención de la víctima, como se muestra a continuación.

notas de rescate

En un ataque de Egregor contra el gigante minorista Cencosud , esta característica hizo que las notas de rescate salieran disparadas de las impresoras de recibos después de que llevaron a cabo el ataque.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta