ランサムウェア「LockBit」、グループポリシーを利用してWindowsドメインを暗号化するようになる

Laptop computer with the system being locked by ransomware cyber attack

Active Directoryのグループポリシーを使ってWindowsドメインの暗号化を自動化するランサムウェア「LockBit 2.0」の新バージョンが発見されました。

新バージョンのLockBit には、数多くの高度な機能が搭載されており、下記2つの機能が注目されています

機能1:グループポリシーの更新でネットワークを暗号化

LockBit2.0では、過去に他のランサムウェアで使用された機能を含む多くの機能が搭載されていますが、スクリプトを使用せずにWindowsドメイン全体にランサムウェアを自動配布する機能が搭載されています。

分析したLockBit 2.0ランサムウェアのサンプルでは、攻撃者は暗号化プロセスを自動化し、ドメインコントローラー上で実行されるとランサムウェアがドメイン全体に分散するようにしています。

このランサムウェアが実行されると、ドメインコントローラ上に新しいグループポリシーが作成され、それがネットワーク上のすべてのデバイスにプッシュされます。

これらのポリシーは、以下のように、Microsoft Defenderのリアルタイム保護、アラート、Microsoftへのサンプル提出、悪意のあるファイルを検出した際のデフォルトアクションを無効にします。

[General]
Version=%s
displayName=%s
[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]
[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]


他にも、ランサムウェアの実行ファイルを起動するスケジュールタスクをWindowsデバイス上に作成するグループポリシーなどが作成されます。

またランサムウェアは以下のコマンドを実行して、グループポリシーの更新をWindowsドメイン内のすべてのマシンにプッシュします。

powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}"

このプロセス中で、ランサムウェアはWindows Active Directory APIを使用して、ドメインコントローラのADSに対してLDAPクエリを実行し、コンピュータのリストを取得します。

このリストを使用して、ランサムウェアの実行ファイルが各デバイスのデスクトップにコピーされ、グループポリシーで設定されたスケジュールタスクが、以下のUACバイパスを使用してランサムウェアを起動します。

Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration "DisplayCalibrator"

このランサムウェアは、UACバイパスを使用して実行されるため、暗号化されたデバイスに警告を表示することなく、バックグラウンドで静かに実行されます。

これまで多くのランサムウェアはWindows Active Directory APIを使用してLDAPクエリを実行していましたが、グループポリシーを使用してマルウェアの配布を自動化するランサムウェアは初めてのことです。

このプロセスを自動化した初めてのランサムウェアの動作であり、これにより脅威行為者は1つのコマンドでMicrosoft Defenderを無効にし、ネットワーク全体でランサムウェアを実行することができます

機能2:LockBit 2.0のネットワークプリンタへの印刷爆撃

LockBit 2.0には、これまで「Egregor Ransomware」で使用されていたネットワーク上のすべてのプリンターに身代金請求書を印刷する機能が搭載されています。

ランサムウェアは、デバイスの暗号化が終了すると、すべてのネットワークプリンターに身代金メモを繰り返し印刷して、被害者の注意を喚起します。

小売業大手のCencosud社に対するEgregor攻撃では、この機能により攻撃を行った後、レシートプリンタから身代金メモが発射されました。

Leave a Reply

Your email address will not be published.