ак вернуть былую производительность LAN-сетей? Стоит ли покупать комплексные ИБ-решения? Как перестать тратить на локальные сети миллионы рублей? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об обеспечении безопасности проводных и беспроводных сетей.
Электронная книга
От SD-WAN до SASE: как подготовить сети к масштабированию и инновациям?Стратегии сетевой безопасности проваливаются одна за другой. Компании не могут растянуть периметр в условиях полной удаленки и не готовы к грядущим инновациям. Для них гипермасштабирование, многооблачные среды и G останутся просто нереализованной фантазией.
Как защитить всех пользователей сети от внешних и внутренних угроз? Можно ли снизить расходы на обслуживание WAN-сетей? Станут ли панацеей периферийные сервисы безопасного доступа (SASE)? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet о требованиях к стратегии обеспечения сетевой безопасности от SD-WAN до SASE. Техника Поделиться «Самый быстрый шифровальщик в мире» автоматизировал свою борьбу с антивирусами для атак на WindowsНовая версия шифровальщика LockBit 2.0 автоматизирует отключение антивирусов и распространение исполняемых файлов шифровальщика по всем системам внутри домена Windows. Но злоумышленникам в любом случае придется сперва получить административные права на контроллере.
Автоматизация вредаНовая версия известного шифровальщика LockBit 2.0 содержит функцию, которая позволяет автоматизировать распространение вредоноса по всему домену Windows, используя групповые политики Active Directory.
Как правило, если злоумышленникам удается скомпрометировать контроллер домена, они используют то или иное ПО для загрузки скриптов, отключающих антивирусы и запускающих шифровальщик на всех машинах в сети.
Однако в новых сэмплах LockBit 2.0, которые удалось проанализировать экспертам издания Bleeping Computer и эксперту Виталию Кремецу, этот процесс автоматизирован: вредонос запускает соответствующие процессы прямо с доменного контроллера.
Для этого он создает новые групповые политики, которые распространяются по всем устройствам, принадлежащим домену. Политики деактивируют защиту Windows Defender и его уведомления, отключают отправку подозрительных сэмплов в Microsoft и другие операции, совершаемые по умолчанию при обнаружении вредоносных файлов.
Другие политики формируют задачу в планировщике заданий по запуску шифровальщика. Затем запускается команда на распространение этих политик по всем машинам в домене: powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes }".
По данным Кремеца, в ходе этого процесса вредонос пытается использовать APIActiveDirectory для отправки LDAP-запросов к доменным службам, чтобы получить список компьютеров. Исполняемый файл шифровальщика размещается на рабочих столах каждой машины из этого списка и запускается, используя следующую процедуру обхода UAC: Software\Microsoft\WindowsNT\CurrentVersion\ICM\Calibration "DisplayCalibrator".
Тихая работа, громкое извещениеШифровальщик функционирует в фоновом режиме, не выдавая себя ничем до окончания процедуры. Зато когда процесс завершен, LockBit 2.0 оповещает о себе через все доступные в сетевом окружении принтеры - многократно распечатывает требование выкупа. То же самое прежде делал шифровальщик Egregor.
Эксперты утверждают, что впервые видят вымогательскую программу, автоматизирующую процесс своего распространения через групповые политики и отключение защитных средств.
«Этот вредонос, тем не менее, требует предварительной компрометации контроллера домена Windows, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Рекламируемая функциональность шифровальщика обширна, но, к счастью, это не тот случай, когда вредонос “все сделает за вас”. Хотя автоматизация распространения и отключения антивирусов делает его намного опаснее других подобных программ. Скорее всего, эту функцию вскоре попытаются перенять другие шифровальщики».
Операторы LockBit 2.0 с недавних пор снова начали активно приглашать участников в свои партнёрские программы. Поскольку на крупнейших хакерских форумах запретили рекламировать шифровальщики, LockBit зазывает новых партнеров прямо через свой сайт утечек.
LockBit 2.0 предлагается по модели RaaS и рекламируется как «самый быстрый шифровальщик в мире».
Роман Георгиев
ПоделитьсяДругие материалы рубрики
Исследование: активность шифровальщиков в отношении госсектора выросла в 10 раз
Конец скандально известной Avast. Ее покупают конкуренты за $8 млрд
Модные наушники взорвались и убили человека. Фото
Силовики заинтересовались разработчиком «антитеррористического ПО»
Российских водителей завалят новыми штрафами. Их начала выписывать умная нейросеть
«Северокорейская» уязвимость в Internet Explorer используется для атак на крымских пользователей
MARKET.CNEWS ColocationПодобрать ЦОД для размещения ИТ-оборудования
От 815 руб./месяц
IaaSПодобрать облачную инфраструктуру
От 346 руб./месяц
S3-хранилищеПодобрать облачное хранилище
От 6,2 коп. за 1 Гб/месяц
DedicatedПодобрать выделенный сервер
От 1499 руб./месяц
Техника Обзор беспроводной гарнитуры Poly Voyager UCВыбираем акустику в машину: лучшие аудиосистемы до 25 000 рублейЧем опасен ваш старый номер мобильного телефона Наука Почему на Земле так много кислорода? Ученые «винят» Луну и микробов Ликбез RND.CNews: всё, что вам нужно знать о квантовых компьютерах LEGO-подобная техника сборки молекул ДНК - новый шаг в разработке биосенсоров Тема месяца Бизнесу нужны не отдельные ИТ-продукты, а комплексная миграция с иностранных платформ на российские Проект месяца Зачем цифровому бизнесу гибридные облака: опыт «Ингосстраха»Как обеспечить гибкость в формировании ИТ-сред
Технология месяца Как инновации помогают строить беспроводные сети в офисахВалерий Лутошкин
директор департамента сетевых решений компании STEP LOGIC
Тема месяца Бизнесу нужны не отдельные ИТ-продукты, а комплексная миграция с иностранных платформ на российские ИТ в госсекторе Как работает импортозамещение ИТ-оборудования в российских школах и больницахНа что государство тратит десятки миллионов рублей?