به‌تازگی نسخه جدیدی از باج‌افزار LockBit ۲,۰ کشف شده است که عملیات رمزگذاری فایل‌های ذخیره شده بر روی دستگاه‌های عضو دامنه را به‌صورت خودکار از طریق Active Directory Group Policy انجام می‌دهد.
به‌گزارش مرکز مدیریت راهبردی افتا، نخستین نسخه از LockBit در اواخر تابستان ۱۳۹۸، در قالب “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به‌اختصار RaaS) ظهور کرد.
در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک سرویس به متقاضی اجاره می‌دهد.
 متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد و در نهایت بخشی از مبلغ اخاذی شده (معمولاً ۷۰ تا ۸۰ درصد از باج پرداخت شده توسط قربانی) را دریافت می‌کند و بخشی دیگر به برنامه‌نویسان باج‌افزار می‌رسد.
در سال‌های اخیر، این باج‌افزار بسیار فعال بوده و گردانندگان آن علاوه بر تبلیغ فروش خدمات RaaS ، به ارائه خدمات پشتیبانی این باج‌افزار در تالارهای گفتگوی اینترنتی (Forum) هکرها، نیز پرداخته‌اند. در پی ممنوعیت تبلیغ باج‌افزار در تالارهای گفتگوی هک، گردانندگان این باج‌افزار تبلیغات در خصوص ارائه خدمات RaaS برای نسل جدید آن – معروف به LockBit ۲,۰ – را در سایت خود آغاز کردند.

در ادامه این مطلب به دو مورد از قابلیت‌های جدید نسخه جدید LockBit پرداخته شده است.

بهره‌گیری از Group Policy برای رمزگذاری دستگاه‌ها
باج افزار LockBit ۲,۰ دارای امکانات متعددی است که یکی از قابلیت‌های خاص آن توزیع باج‌افزار در سطح دامنه (Domain) بدون نیاز به استفاده از اسکریپت‌هایی است که در نمونه‌های مشابه دیده می‌شود.
در حملات باج‌افزاری مشابه، پس از رخنه به شبکه و در تصاحب Domain Controller، مهاجمان با استفاده از نرم‌افزارها و ابزارهای ثالث اقدام به توزیع اسکریپت‌هایی می‌کنند که وظیفه آنها غیرفعال‌کردن ضدویروس و اجرای فایل باج‌افزار بر روی دستگاه‌ها است.
اما نمونه‌هایی جدید از LockBit ۲,۰ به دست محققان رسیده است که نشان می‌دهد با اجرای باج‌افزار برای سرور Domain Controller فرایند مذکور از طریق Group Policy به‌صورت خودکار و بدون استفاده از اسکریپت انجام می‌شود.
بدین نحو که پس از اجرا شدن، نسخ جدیدی از Group Policy در سطح دامنه ایجاد و سپس بر روی تمامی دستگاه‌های عضو دامنه اعمال می‌شود.
این پالیسی‌ها قابلیت‌های حفاظتی و هشداردهی Microsoft Defender را مطابق با تنظیمات زیر غیرفعال می‌کنند:

 [General]

Version=%

sdisplayName=%s

[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]

[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]

[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]

[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]

همچنین با دست‌کاری تنظیمات Group Policy یک Scheduled Task ایجاد می‌شود که وظیفه آن فراخوانی فایل اجرایی باج‌افزار است. 
در ادامه نیز با اجرای فرمان زیر تغییرات جدید در Group Policy به دستگاه‌های عضو دامنه اعمال می‌شود.

powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes ۰}”

ضمن آن که با استفاده از برخی توابع Active Directory API باج‌افزار، فهرست دستگاه‌ها را از طریق LDAP استخراج می‌کند؛ با در اختیار داشتن فهرست مذکور، فایل اجرایی باج‌افزار بر روی Desktop هر دستگاه کپی و فایل توسط Group Policy از طریق فرمان زیر بدون هرگونه مزاحمت UAC، اجرا می‌شود:

“Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration “DisplayCalibrator

در نتیجه ازکارافتادن UAC، باج‌افزار در پشت‌صحنه اجرا و رمزگذاری فایل‌های دستگاه‌ها، بی‌سروصدا آغاز می‌شود.
اگرچه درگذشته نیز از توابع Active Directory API توسط باج‌افزار MountLocker بهره گرفته شده بود اما این اولین‌بار است که فرایند توزیع فایل مخرب از طریق Group Policy و بدون دخالت هرگونه اسکریپت به‌صورت خودکار انجام می‌شود.

چاپ انبوه پیام باج‌گیری LockBit ۲,۰ توسط چاپگرهای متصل به شبکه
باج افزار LockBit ۲,۰ به قابلیت جدیدی مجهز شده است که پیام باج‌گیری (Ransom Note) را به‌تمامی چاپگرهای متصل به شبکه ارسال می‌کند. استفاده از این تکنیک قبلاً در باج‌افزار Egregor استفاده شده است.
هنگامی که رمزگذاری فایل‌های یک دستگاه به پایان می‌رسد باج‌افزار برای جلب توجه قربانی، به طور مستمر پیام باج‌گیری را به هر چاپگر متصل به شبکه ارسال می‌کند.

در حمله Egregor به شرکت خرده‌فروشی سنکوسود (Cenconsud) این کار باج‌افزار موجب شد تا پیام باج‌گیری توسط چاپگرهای رسید خرید نیز چاپ شود.

منابع:

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policieshttps://www.bleepingcomputer.com/news/security/egregor-ransomware-print-bombs-printers-with-ransom-notes