ransomware
De creatie van ransomware is al enige tijd geleden tot een ondergrondse industrie verworden, met technische ondersteuningsdiensten, perscentra en reclamecampagnes. En net als bij elke andere industrie, vereist het creëren van competitieve producten constante verbeteringen. LockBit is bijvoorbeeld de laatste in een reeks groepen van cybercriminelen die adverteren met de mogelijkheid om infectie van lokale computers te automatiseren via een domeincontroller.
LockBit volgt het Ransomware as a Service (RaaS)-model, waarbij het zijn klanten (de daadwerkelijke aanvallers) infrastructuur en malware levert, en vervolgens een deel van het losgeld ontvangt. Inbreken in het netwerk van het slachtoffer is de verantwoordelijkheid van de aannemer, en wat betreft de verspreiding van de ransomware over het netwerk heeft LockBit een vrij interessante technologie ontworpen.
De verspreiding van LockBit 2.0
Nadat de aanvallers toegang hebben verkregen tot het netwerk en de domeincontroller bereiken, schrijft Bleeping Computer dat ze hier hun malware op draaien, waardoor er nieuwe user group policies worden gecreëerd, die vervolgens automatisch naar de apparaten op het netwerk worden gepusht. De policies schakelen allereerst de ingebouwde beveiligingstechnologie van het besturingssysteem uit. Andere policies creëren vervolgens een geplande taak op alle Windows-machines om de uitvoerbare ransomware te runnen.
Bleeping Computer citeert onderzoeker Vitali Kremez, die zegt dat de ransomware gebruikmaakt van de Windows Active Directory API om Lightweight Directory Access Protocol (LDAP)-verzoeken uit te voeren om een lijst van computers te verkrijgen. LockBit 2.0 omzeilt vervolgens User Account Control (UAC) en wordt in het geheim gedraaid, zonder eventuele waarschuwingen te activeren dat het apparaat versleuteld wordt.
Blijkbaar is dit de allereerste verspreiding van massamarkt-malware via het beleid van gebruikersgroepen. Bovendien levert LockBit 2.0 op nogal eigenzinnige wijze losgeldbriefjes af, door het briefje af te drukken op alle printers die op het netwerk zijn aangesloten.
Hoe kan ik mijn bedrijf tegen vergelijkbare dreigingen beschermen?
Houd er rekening mee dat een domeincontroller in werkelijkheid een Windows-server is, en dus ook bescherming nodig heeft. Kaspersky Security for Windows Server, dat de meeste van onze endpoint-beveiligingsoplossingen voor bedrijven omvat en servers die op Windows draaien beschermt tegen de modernste dreigingen, zou deel moeten uitmaken van uw arsenaal.
Ransomware die zich verspreidt via group policies vertegenwoordigt echter de laatste fase van een aanval. Schadelijke activiteiten zouden veel eerder zichtbaar moeten worden, bijvoorbeeld wanneer aanvallers voor het eerst het netwerk binnendringen of proberen de domeincontroller te kapen. Managed Detection and Response-oplossingen zijn bijzonder effectief in het detecteren van de tekenen van dat soort aanvallen.
Het belangrijkste is dat cybercriminelen vaak social engineering-technieken en phishing-e-mails gebruiken om de eerste toegang te krijgen. Om ervoor te zorgen dat uw werknemers niet in dit soort trucs trappen, is het belangrijk hun cybersecurity-bewustzijn de verbeteren door middel van regelmatige training.
Tips