Так же как и обычные разработчики ПО, киберпреступники стремятся постоянно обновлять свои продукты. Например, создатели известного шифровальщика LockBit не так давно выпустили его новую версию — LockBit 2.0.
Обычно вирусы при захвате контроллера домена просто загружают дополнительные утилиты или скрипты, которые позволяют отключить антивирусную защиту и запустить вредонос на всех устройствах в пределах сети. Разработчики LockBit решили привнести в свой продукт толику новых технологий и автоматизировать этот процесс. Новая версия вируса научилась автоматически отключать защитное ПО и распространятся с помощью групповых политик Active Directory.
Как это выглядит? Вредонос создает новые политики AD, которые, в свою очередь, распространяются на устройства этого домена. Они выключают Windows Defender и блокируют его стандартные операции: отправку уведомлений и потенциально вредоносных сэмплов, защитные функции и прочее. К счастью, все не так плохо. Для демонстрации всей мощи LockBit 2.0 тем не менее требуется получение доступа к контроллеру домена.
Интересный факт: LockBit распространяется по модели Ransomware-as-a-Service, а его создатели активно развивают партнерскую программу прямо на собственном сайте.
