Le ransomware LockBit crypte les domaines Windows à l’aide de stratégies de groupe

0

Une nouvelle version du ransomware LockBit 2.0 a été découverte, cette version automatise le cryptage d’un domaine Windows à l’aide des stratégies de groupe Active Directory.

L’opération de ransomware LockBit a été lancée en septembre 2019 en tant que ransomware-as-a-service, où les pirates informatiques sont recrutés pour pénétrer les réseaux et chiffrer les appareils.

En retour, les affiliés recrutés gagnent 70 à 80% d’un paiement de rançon, et les développeurs de LockBit gardent le reste.

Au fil des ans, l’opération de ransomware a été très active, avec un représentant du gang faisant la promotion de l’activité et fournissant une assistance sur les forums de piratage.

Après que les sujets sur les ransomwares aient été interdits sur les forums de piratage, LockBit a commencé à promouvoir la nouvelle opération de ransomware LockBit 2.0 en tant que service sur leur site de fuite de données.

La nouvelle version de LockBit inclut de nombreuses fonctionnalités avancées, dont deux sont décrites ci-dessous.

Utilise la mise à jour de la stratégie de groupe pour chiffrer le réseau

LockBit 2.0 promeut une longue liste de fonctionnalités dont beaucoup ont été utilisées par d’autres opérations de ransomware dans le passé.

Cependant, les développeurs prétendent avoir automatisé la distribution de ransomware dans un domaine Windows sans avoir besoin de scripts.

Lorsque les pirates informatiques pénètrent dans un réseau et prennent enfin le contrôle du contrôleur de domaine, ils utilisent un logiciel tiers pour déployer des scripts qui désactivent l’antivirus, puis exécutent le ransomware sur les machines du réseau.

Dans des échantillons du ransomware LockBit 2.0 découverts par MalwareHunterTeam et analysés par Vitali Kremez, les pirates informatiques ont automatisé ce processus afin que le ransomware se distribue dans un domaine lorsqu’il est exécuté sur un contrôleur de domaine.

Une fois exécuté, le ransomware créera de nouvelles stratégies de groupe sur le contrôleur de domaine qui seront ensuite transmises à chaque appareil du réseau.

Ces stratégies désactivent la protection en temps réel de Microsoft Defender, les alertes, la soumission d’échantillons à Microsoft et les actions par défaut lors de la détection de fichiers malveillants, comme indiqué ci-dessous.

[General]
Version=%s
displayName=%s
[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]
[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]

D’autres stratégies de groupe sont créées, dont une pour créer une tâche planifiée sur les appareils Windows qui lancent l’exécutable du ransomware.

Le ransomware exécutera ensuite la commande suivante pour transmettre la mise à jour de la stratégie de groupe à toutes les machines du domaine Windows.

powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}"

Kremez a déclaré qu’au cours de ce processus, le ransomware utilisera également les API Windows Active Directory pour effectuer des requêtes LDAP sur l’ADS du contrôleur de domaine afin d’obtenir une liste d’ordinateurs.

À l’aide de cette liste, l’exécutable du ransomware sera copié sur le bureau de chaque appareil et la tâche planifiée configurée par les stratégies de groupe lancera le ransomware à l’aide du contournement UAC ci-dessous:

Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration "DisplayCalibrator"

Le ransomware sera exécuté à l’aide d’un contournement UAC et le programme s’exécutera silencieusement en arrière-plan sans qu’aucune alerte externe ne soit cryptée sur l’appareil.

Alors que MountLocker avait précédemment utilisé les API Windows Active Directory pour effectuer des requêtes LDAP, c’est la première fois que nous voyons un ransomware automatiser la distribution du malware via des stratégies de groupe.

« Il s’agit de la première opération de ransomware à automatiser ce processus, et elle permet à un acteur malveillant de désactiver Microsoft Defender et d’exécuter le ransomware sur l’ensemble du réseau avec une seule commande », a déclaré Kremez.

« Une nouvelle version du ransomware LockBit 2.0 a été découverte et automatise l’interaction et le cryptage ultérieur d’un domaine Windows à l’aide des stratégies de groupe Active Directory. »

« Le malware a ajouté une nouvelle approche d’interaction avec Active Directory propageant les ransomwares vers des domaines locaux ainsi qu’une politique globale de mise à jour intégrée avec désactivation de l’antivirus, facilitant les opérations de ‘pentester’ pour les nouveaux opérateurs de logiciels malveillants. »

LockBit 2.0 bombarde les imprimantes réseau

LockBit 2.0 inclut également une fonctionnalité précédemment utilisée par l’opération du ransomware Egregor qui imprime la note de rançon à toutes les imprimantes du réseau.

Lorsque le ransomware a fini de crypter un appareil, il imprime à plusieurs reprises la note de rançon sur toutes les imprimantes réseau connectées pour attirer l’attention de la victime, comme indiqué ci-dessous.

lockbit

Dans une attaque d’Egregor contre le géant de la vente au détail Cencosud, cette fonctionnalité a provoqué la sortie de notes de rançon des imprimantes de reçus après avoir mené l’attaque.

Laisser un commentaire