A criação de ransomware tornou-se uma indústria underground há algum tempo, com serviços de suporte técnico, centros de imprensa e campanhas publicitárias. Como em qualquer outro setor, a criação de um produto competitivo requer melhoria contínua. O LockBit, por exemplo, é o mais recente de uma série de grupos de cibercriminosos que anunciam a capacidade de automatizar a infecção de computadores locais por meio de um controlador de domínio.
O LockBit segue o modelo Ransomware as a Service (RaaS), fornecendo aos seus clientes (os próprios atacantes) infraestrutura e malware, e recebendo uma parte do resgate. A invasão da rede da vítima é responsabilidade do contratante e, no que diz respeito à distribuição do ransomware pela rede, o LockBit projetou uma tecnologia bastante interessante.
Distribuição do LockBit 2.0
Depois que os invasores obtêm acesso à rede e alcançam o controlador de domínio, relata o Bleeping Computer, eles então executam o malware, criando novas políticas de grupo de usuários, que são automaticamente enviadas por push a cada dispositivo da rede. As políticas primeiro desabilitam a tecnologia de segurança integrada do sistema operacional. Outras políticas criam uma tarefa agendada em todas as máquinas Windows para executar o ransomware.
A Bleeping Computer cita o pesquisador Vitali Kremez dizendo que o ransomware usa a API do Windows Active Directory para realizar consultas do protocolo LDAP para obter uma lista de computadores. O LockBit 2.0 então ignora o Controle de Conta de Usuário (UAC, sigla em inglês) e é executado silenciosamente, sem acionar nenhum alerta no dispositivo que está sendo criptografado.
Aparentemente, isso representa a primeira disseminação de malware para o mercado de massa por meio de políticas de grupo de usuários. Além disso, o LockBit 2.0 entrega notas de minuciosas de resgate, e as imprime em todas as impressoras conectadas à rede.
Como posso proteger minha empresa de ameaças semelhantes?
Lembre-se de que um controlador de domínio é, na verdade, um servidor Windows e, como tal, precisa de proteção. O Kaspersky Security for Windows Server, que vem com a maioria de nossas soluções de segurança de endpoint para empresas e protege os servidores Windows de grande parte das ameaças atuais, deve fazer parte do seu arsenal.
Ao se espalhar por meio de políticas de grupo, o ransomware representa o último estágio de um ataque. A atividade maliciosa deve se tornar aparente muito mais cedo, por exemplo, quando os invasores entram pela primeira vez na rede ou tentam sequestrar o controlador de domínio. Soluções Managed Detection and Response são particularmente eficazes na detecção de sinais desse tipo de ataque.
Mais importante, os cibercriminosos costumam usar técnicas de engenharia social e e-mail de phishing para obter acesso inicial. Para evitar que seus funcionários caiam em tais armadilha, invista em conscientização sobre cibersegurança com treinamento regular.