資安專家發現,新版 LockBit 勒贖軟體,可透過 Windows Server 設定的群組原則,自動加密整個 Windows 網域下的所有電腦。使用 Windows Server 的企業網域管理員,應特別提高警覺。
資安專家發現,新版 LockBit 勒贖軟體 2.0 版多出數項新功能,其中一項可透過 Windows Server
設定的群組原則,自動加密整個 Windows 網域下的所有電腦。使用 Windows Server
管理旗下所有電腦的企業網域管理員,應特別提高警覺。
LockBit 勒贖軟體出現於 2019 年 9 月,是一個「勒贖軟體即服務」(Ransomware as a service),想要發動勒贖攻擊的人,可以「租用」他們的服務,並且設定要攻擊的對象。
一旦勒贖攻擊成功令受害者支付贖款,租用服務的人可以得到 70%~80% 的贖金,LockBit 的開發團隊則會收取其餘的贖款做為佣金。
近年來,LockBit 的勒贖攻擊相當猖獗,其團隊成員為了「促銷」,也在許多駭侵相關論壇主動提供各種「支援」;在許多駭侵相關論壇紛紛禁止勒贖相關主題貼文後,LockBit 的活動便轉到該團體自己設立的資料洩露網站中。
在該團體網站中,最近公布的 LockBit 2.0 最新功能中,即包括可利用群組原則,自動感染 Windows 網域控制站旗下所有
Windows 電腦的功能;攻擊者不必自行撰寫程式碼進行勒贖軟體「布署」,只要取得 Windows Server
網域控制器的存取權,就會自動進行布署。
執行時,LockBit 2.0 會自動産生新的群組原則設定檔,並且禁用 Microsoft Defender 的即時防護功能,避免布署活動遭到阻斷。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-4964-4ceaa-1.html
資料來源:TWCERT資安新聞
沒有留言:
張貼留言