Come fa il ransomware LockBit 2.0 a crittografare i domini Windows

Il ransomware LockBit è una minaccia già molto nota agli utenti e agli sviluppatori di soluzioni per la sicurezza informatica.
La nuova versione del ransomware, battezzata LockBit 2.0, aggredisce automaticamente i domini Windows facendo leva sulle policy di gruppo di Active Directory.

La principale prerogativa di LockBit è che questa minaccia, scoperta nel mese di settembre 2019, utilizza l’approccio ransomware-as-a-service: gruppi di criminali informatici vengono di volta assoldati per implementare nuove funzionalità all’interno di LockBit e rendere gli attacchi sempre più efficaci, soprattutto con l’intento di prendere di mira obiettivi di elevato profilo.
I criminali informatici che accettano di collaborare con gli ideatori di LockBit ricevono il 70-80% delle somme versate dalle vittime del ransomware per rimettere mano sui loro dati.

Una delle caratteristiche più pericolose e allo stesso tempo più avanzate di LockBit 2.0 consiste nella possibilità per il malware di diffondersi attraverso un dominio Windows senza necessità di usare alcuno script.
Una volta in esecuzione, infatti, il ransomware crea una serie di nuove policy di gruppo sul controller di dominio che vengono successivamente distribuite a tutti i client collegati.

Tali criteri di gruppo disattivano la protezione in tempo reale di Microsoft Defender, la visualizzazione delle notifiche, la trasmissione dei campioni malware a Microsoft e tutte le azioni di solito compiute automaticamente al rilevamento di eventuali file malevoli sul sistema.

Vengono poi create altre policy di gruppo, compresa una che permette di impostare un’attività pianificata sui dispositivi Windows al fine di lanciare l’eseguibile del ransomware.
Con un semplice comando PowerShell (powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}") l’aggiornamento dei criteri di gruppo viene distribuito a tutte le macchine nel dominio Windows.

Il ransomware è sviluppato per usare anche le API di Active Directory e inviare una serie di query LDAP per ottenere la lista completa dei dispositivi connessi alla rete. Una volta ottenuta, l’eseguibile del ransomware viene copiato sul desktop di ciascuna macchina per poi essere automaticamente avviato con i privilegi di amministratore (usando un meccanismo che consente di bypassare la comparsa della schermata UAC ovvero la chiave di registro Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration "DisplayCalibrator").

Come “ciliegina sulla torta”, dopo aver crittografato il contenuto di ciascun sistema collegato in rete, LockBit 2.0 invia un documento a ogni stampante di rete con le istruzioni per il pagamento del riscatto.