ドメインコントローラー到達後 グループポリシー作成し拡散自動化、ランサムウェア「LockBit 2.0」解説
株式会社Kaspersky Labs Japanは8月6日、暗号化型ランサムウェア「LockBit 2.0」について同社ブログ記事で解説をしている。
脆弱性と脅威
脅威動向
同社によると、LockBitグループは顧客(実際の攻撃者)にインフラとマルウェアを提供し、支払われた身代金の一部を受け取る「Ransomware as a Service」(RaaS)モデルを採用、ドメインコントローラーを通じたローカルコンピューターへの感染を自動化したことを宣伝している。
Bleeping Computerは、ランサムウェア「LockBit 2.0」を使用した攻撃について、攻撃者はネットワークへのアクセス権を入手しドメインコントローラーに到達した後、ネットワーク上でLockBit 2.0を実行、ユーザーのグループポリシーを新規作成してネットワーク上の各デバイスへ自動プッシュし、まずはOS内蔵のセキュリティメカニズムを無効化、続いて別のポリシーがランサムウェアの実行ファイルを起動するスケジュールされたタスクをWindowsコンピュータ上に作成すると解説している。
Bleeping Computerにて引用されているリサーチャーのVitali Kremez氏によると、LockBit 2.0はWindowsのActive Directoryを使用してLightweight Directory Access Protocol(LDAP)クエリを実行しコンピュータのリストを入手し、続いて暗号化されるコンピュータ上で警告が発動しないようユーザーアカウント制御(UAC)を回避してサイレントに実行するという。
ブログ記事ではLockBit 2.0について、グループポリシー経由の拡散を自動化した史上初のランサムウェアであるとし、またネットワークに接続する全プリンターから身代金要求メッセージを印刷するという特徴を示しているとのこと。
![Facebook、イランハッカーグループ対処/米英同盟国、中国を非難/オリンピック便乗ファイル削除機能付ポルノウェア ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/35270.png)
