Lockbit2.0ランサムウェア

LockBit Ransomwareは、2019年9月にRaaS（Ransomware-as-a-Service）スキームで提供されたときに、マルウェアの世界に登場しました。脅威のオペレーターは、実際のランサムウェア攻撃を実行して利益を分割するアフィリエイトを探していました。アフィリエイトは資金の約70〜80％を袋に入れ、残りはLockBitクリエーターに渡されます。

この作戦は開始以来非常に活発であり、脅威の背後にいるグループの代表者がハッカーフォーラムでの存在感を維持しています。いくつかの著名なフォーラムがランサムウェアスキームから距離を置くことを決定し、そのようなトピックの議論を禁止したとき、LockBitは新しく作成されたデータ漏洩サイトに移動しました。そこで、サイバー犯罪者は、脅迫的な作品の次のバージョンであるLockBit 2.0を発表しました。これは、RaaSとしても提供されます。 2.0バージョンは、ハッカーが以前に他のランサムウェアファミリで出現した複数の機能を組み込んだ、大幅に拡張された有害な機能を誇っています。さらに、この脅威には、グループポリシーを悪用して、Windowsドメインを自動的に暗号化できる、これまでにない手法が備わっています。

LockBit2.0は新しい技術を展示しています

LockBit 2.0は依然としてランサムウェアであるため、その目的は、そこに保存されているデータを暗号化して身代金を要求する前に、侵害されたネットワークに接続されているできるだけ多くのデバイスに感染することです。ただし、これらの操作の標準的な方法であるサードパーティのオープンソースツールに依存する代わりに、LockBit2.0はその配布とセキュリティ対策を自動化しました。脅威が実行されると、ドメインコントローラー上にいくつかの新しいグループポリシーが作成され、その後、侵害されたネットワークに接続されているすべてのマシンに配信されます。これらのポリシーを通じて、マルウェアはMicrosoft Defenderの実際の保護機能、アラート、デフォルトのアクション、および歓迎されない侵入者を検出したときに通常Microsoftに送信されるサンプルを無効にすることができます。また、実行可能ファイルを起動するためのスケジュールされたタスクを確立します。

操作の次のステップでは、LockBit2.0の実行可能ファイルが検出された各デバイスのデスクトップにコピーされます。以前に作成されたスケジュールされたタスクは、UAC（ユーザーアカウント制御）バイパスを実装することによってタスクを開始します。この方法により、LockBit 2.0は、ユーザーの注意を引く可能性のあるアラートをトリガーすることなく、プログラミングをステルスに進めることができます。

暗号化プロセスが完了すると、LockBit 2.0は、EgregorRansomwareの脅威の一部として以前に観察された機能をアクティブにします。これには、ネットワークに接続されているすべてのプリンターに、脅威の身代金メモを際限なく吐き出すように強制することが含まれます。

Lockbit2.0ランサムウェアスクリーンショット