Teljes tartományokat dönt le a LockBit zsarolóvírus

A LockBit zsarolóvírus különösen olyan környezetekben képes jelentős pusztításra, ahol tartományvezérlő is működik.
 

A 2019 óta ismert LockBit zsarolóvírusnak egy új variánsa kezdett terjedni. Ennek vizsgálata során a biztonsági szakértők arra a következtetésre jutottak, hogy a kártékony program készítői egyértelműen a hálózatos környezetekben történő, eddigieknél szélesebb körű és automatizáltabb vírusterjesztésre törekedtek az új szerzeményük fejlesztése során.
 
A LockBit 2.0 számos olyan képességgel rendelkezik, amelyek más fájltitkosító zsarolóvírusok esetében is megfigyelhetők. Ennek megfelelően az általa megfertőzött számítógépeken képes titkosítani a különféle állományokat, törli az árnyékmásolatokat, és minden olyan folyamatot leállít, amelyek a működését akadályozhatják.
 
Irány a tartomány
 
Az új zsarolóvírus legfontosabb jellemzője, hogy számos olyan komponenssel rendelkezik, amik a tartományi hálózatokban történő terjedését, illetve károkozását automatizálják. A károkozót vizsgáló Vitali Kremez biztonsági szakértő szerint a LockBit 2.0 akkor képes a legnagyobb pusztításra, ha egy tartományvezérlőre kerül fel. Ekkor ugyanis elkezd csoportházirendeket létrehozni, amelyek révén feljuttatja a saját állományait a tartományhoz kapcsolódó számítógépekre. Emellett olyan házirendeket készít, amikkel leállítja a Microsoft Defender valós idejű védelmét, letiltja a biztonsági riasztásokat és a mintaküldést a Microsoft felé. Mindezeken túl a károkozó ütemezett feladatokat is létrehoz, amik révén rendszeres időközönként végre tudja hajtani a nemkívánatos tevékenységeit. Eközben pedig Windows Active Directory API-k és LDAP-lekérdezések révén pontosan feltérképezi a tartományi számítógépeket.

Az új LockBit érdekessége, hogy – az Egregor zsarolóvírushoz hasonlóan – nemcsak a fertőzött számítógépeken jeleníti meg a követeléseit, hanem azokat az elérhető hálózati nyomtatókon ki is nyomtatja. Ezáltal meglehetősen nagy feltűnést tud kelteni.
 
Szolgáltatásként értékesített veszedelem
 
A LockBit zsarolóvírus azon kártékony programok közé tartozik, amelyeket a készítőik nem saját maguk használnak fel, hanem azokat szolgáltatásként értékesítik. A LockBithez kapcsolódó alvilági szolgáltatás lényege, hogy azok, akik igénybe veszik a károkozót a támadásaikhoz, a kizsarolt összeg 70-80 százalékát kapják meg, míg a vírusírók 20-30 százalékos részesedést kérnek a folyamatosan fejlesztett szerzeményükért cserébe.