اولین باج افزاری که ازگروپ پالیسی های ویندوز برای رمز کردن دامنه های ویندوز استفاده می¬کند

اولین باج افزاری که ازگروپ پالیسی های ویندوز برای رمز کردن دامنه های ویندوز استفاده می¬کند

اولین باج افزاری که ازگروپ پالیسی های ویندوز برای رمز کردن دامنه های ویندوز استفاده می¬کند

 

محققان تیم MalwareHunter و BleepingComputer به همراه متخصص بدافزاری به نام Vitali Kremez ، یک ورژن جدیدی از باج¬افزار LockBit 2.0 را شناسایی کرده¬اند که با استفاده از گروپ پالیسی¬های اکتیو دایرکتوری دامنه¬های ویندوز را رمز می¬کند.Kremez توضیح داد که این اولین باج¬افزاری است که این فرآیند را به صورت خودکارانجام می¬دهد.
Lockbit 2.0، همانند سایر عملیات¬های باج افزاری یک مدل باج¬افزار به عنوان سرویس را اجرا می¬کند و شبکه ای از موارد مرتبط را نگهداری می¬کند.
باج افزار LockBit اولین بار در سپتامبر 2019 در چشم انداز تهدید ظاهر شد. مولف باج افزار آن را در طی سال ها بهبود بخشید و ویژگی های جدیدی را پیاده¬سازی کرد و از وابستگی¬ها و روابط آن پشتیبانی کرد. پس ازاینکه تبلیغات باج افزار در فروم¬های هک غیر قانونی اعلام شد، اپراتورهای LockBit ، سایت نشت اطلاعاتی خود را برای تبلیغ آخرین نسخه و برنامه وابسته به LockBit 2.0 ، راه¬اندازی کردند.
سایت نشت اطلاعات، لیستی از ویژگی¬های پیاده¬سازی شده در متغیر جدید را ارائه می¬دهد که یکی از جالبترین آنها توانایی استفاده از به روز رسانی گروپ پالیسی برای رمز کردن یک دامنه ویندوز است. این به معنی می¬باشد که وقتی مهاجمان به یک شبکه هدف دسترسی پیدا کرده و domain controller را تسخیر کرده باشند، باج افزار قادر به انتشار در داخل دامنه خواهد بود. باج افزار روی domain controller گروپ پالیسی های جدیدی را تولید می¬کند که به همه¬ی ماشین¬ها در دامنه ویندوز ارسال و اجرا می¬شود. این پالیسی¬ها اقدامات امنیتی مانند Microsoft Defender و هشدارهایش را غیرفعال می¬کند و برای اجتناب از تشخیص حمله، از ارسال نمونه¬ها به مایکروسافت جلوگیری می¬کند.

اشتراک گذاری این مقاله