قام المطورون بأتمتة توزيع برامج الفدية الخاصة بهم عبر مجال Windows بأكمله دون استخدام البرامج النصية.
يعمل الإصدار الجديد من LockBit 2.0 ransomware الآن على أتمتة تشفير مجالات Windows باستخدام سياسات مجموعة Active Directory.
بدأت العمليات باستخدام LockBit في سبتمبر 2019. قام مطورو برامج الفدية بتوزيعها من خلال ransomware-as-a-service (RaaS) وقاموا بتجنيد شركاء لاختراق الشبكات وتشفير الأجهزة. احتفظ الشركاء بنسبة 70-80٪ من الفدية التي دفعها الضحايا ، وتلقى المطورون الباقي.
منذ ذلك الحين ، أصبحت العمليات التي تستخدم LockBit نشطة للغاية. أعلنت المجموعة عن خدماتها في منتديات الهاكرز وقدمت الدعم الفني لشركائها. بعد حظر برامج الفدية على منتديات المجرمين الإلكترونيين ، بدأ مطورو برامج الفدية بالإعلان عن الإصدار الجديد من LockBit 2.0 على موقع التسريبات الخاص بهم.
قال فيتالي كريمز من برنامج MalwareHunterTeam ، إن LockBit 2.0 تلقى عددًا من الميزات الجديدة . وفقًا للمطورين ، قاموا بأتمتة توزيع برنامج الفدية عبر نطاق Windows بأكمله دون استخدام البرامج النصية. بعد التسلل إلى شبكة والتحكم في وحدة تحكم المجال باستخدام برنامج تابع لجهة خارجية ، ينشر المهاجمون نصوصًا تعطل حلول مكافحة الفيروسات ثم تشغيل LockBit 2.0 على الأجهزة الموجودة على الشبكة. قام المطورون بأتمتة هذه العملية بحيث ينتشر برنامج الفدية الآن عبر المجال عند تنفيذه على وحدة تحكم المجال.
عند تشغيل LockBit 2.0 ، فإنه ينشئ سياسات مجموعة جديدة على وحدة تحكم المجال ، والتي يتم دفعها بعد ذلك إلى كل جهاز على الشبكة. تعمل هذه السياسات على تعطيل الحماية في الوقت الحقيقي لـ Microsoft Defender ، والتنبيهات ، وعمليات إرسال نماذج Microsoft ، والإجراءات الافتراضية عند اكتشاف ملفات ضارة.
يتم أيضًا إنشاء سياسات المجموعة الأخرى ، بما في ذلك إنشاء مهمة مجدولة على أجهزة Windows التي تقوم بتشغيل برنامج الفدية القابل للتنفيذ. يستخدم LockBit 2.0 أيضًا واجهة برمجة تطبيقات Windows Active Directory للاستعلام عن LDAP مقابل وحدة تحكم مجال ADS للحصول على قائمة بأجهزة الكمبيوتر.
باستخدام هذه القائمة ، سيتم نسخ ملف الفدية القابل للتنفيذ إلى سطح المكتب لكل جهاز ، وستقوم مهمة مجدولة تم تكوينها بواسطة Group Policy بتشغيل LockBit 2.0.
تلقى الإصدار الجديد من برنامج الفدية أيضًا وظيفة استخدمها في السابق برنامج الفدية Egregor - طباعة مذكرة فدية على جميع الطابعات المتصلة بالشبكة.
0 تعليقات