便利なグループポリシー
企業ネットワークでは多数のコンピュータが動作します。
それらが企業の方針に沿った範囲でだけ操作できるようにする目的でグループポリシーは利用されます。
管理者はこの機能のおかげで、全体の管理性を向上させることができます。
しかし、この機能の恩恵を受けるのは、企業ネットワークの管理者だけではありませんでした。
犯罪者もこの機能を使います。
今回確認されているマルウェアは、新しいバージョンのLockBitです。
LockBit2.0です。
LockBitは2019年から観測されいる、RaaS(Ransomware as a Service)の一つです。
いくつものRaaSが運用停止に追い込まれている中、まだ生き残っている一つと言えます。
このLockBit2.0は、非常に多機能になってきています。
その中でも特に危険なものは次のようなものです。
- グループポリシー機能によるWindowsドメイン全体へのマルウェア配布と自動暗号化実施機能
これは強烈です。
犯罪者はマルウェアを配布する機能(企業内などで横展開するための機能)を作る必要がありません。
Windowsドメインのグループポリシー機能を使ってマルウェアの配布と実行を実現します。 - グループポリシー機能によるWindowsドメイン全体への犯罪発覚の防止機能
- Microsoft Defenderのリアルタイム保護の無効化
- アラートの無効化
- Microsoftへのサンプルの送信の無効化
- 悪意のあるファイルを検出する際のデフォルトアクションの無効化
- グループポリシー機能によるマルウェアの永続化
ランサムウェアの実行可能ファイルを起動するタスク(スケジュール機能)を作成します。 - プリント爆弾機能
ネットワークに接続されたすべてのプリンターに身代金メモを印刷する機能が実行されます。
従来のようにテキストファイルに記録された脅迫文ファイルを配置しておくだけではなく、脅迫文をWindowsドメインのすべてのプリンターから印刷するのです。
しかも、繰り返し印刷します。
これもWindowsドメインの機能を悪用したものと言えます。
十分な範囲での暗号化が完了した段階で、この機能を発動すると、効果的に脅迫ができるということでしょうか。
これらの危険な機能以外にも、Tor経由での管理用ポータルが利用できる、とか、自動復号化お試し機能、とか、復号動作の自動検出機能、とか、盛りだくさんです。
Windowsドメインの管理サーバのアカウントが侵害されるとここまでできてしまうという怖いお話でした。
参考記事(外部リンク):LockBit ransomware now encrypts Windows domains using group
policies
www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/
