Telah ditemukan versi baru ransomware, LockBit 2.0 yang otomatis mengenkripsi domain Windows menggunakan kebijakan grup Active Directory. Operasi ransomware LockBit diluncurkan pada September 2019 sebagai ransomware layanan, di mana pelaku ancaman direkrut untuk menembus jaringan dan mengenkripsi perangkat.Sebagai gantinya, afiliasi yang direkrut mendapatkan 70-80% dari pembayaran tebusan dan pengembang LockBit menyimpan sisanya.

Selama bertahun-tahun, operasi ransomware sangat aktif, dengan perwakilan geng yang mempromosikan aktivitas tersebut dan memberikan dukungan di forum peretasan.Setelah topik ransomware dilarang di forum peretasan, LockBit mulai mempromosikan operasi ransomware sebagai layanan pada LockBit 2.0 yang baru di situs kebocoran data mereka. LockBit 2.0 mempromosikan daftar panjang tentang fitur yang banyak digunakan oleh operasi ransomware lain di masa lalu.

Namun, ada fitur tingkat lanjut yang dipromosikan, di mana pengembang mengklaim telah mengotomatiskan distribusi ransomware di seluruh domain Windows tanpa memerlukan skrip.Ketika pelaku ancama n melanggar jaringan dan akhirnya mendapatkan kendali atas pengontrol domain, mereka menggunakan software pihak ketiga untuk menyebarkan skrip yang menonaktifkan antivirus dan kemudian mengeksekusi ransomware pada mesin di jaringan.

Dalam sampel ransomware LockBit 2.0 yang ditemukan oleh MalwareHunterTeam dan dianalisis oleh BleepingComputer dan Vitali Kremez.

Pelaku ancaman telah mengotomatiskan proses ini, sehingga ransomware mendistribusikan dirinya sendiri ke seluruh domain saat dijalankan pada pengontrol domain. Saat dijalankan, ransomware secara otomatis membuat kebijakan grup baru pada pengontrol domain yang kemudian dikirim ke setiap perangkat di jaringan.

Kremez mengatakan bahwa, selama proses ini, ransomware juga akan menggunakan Windows Active Directory API untuk melakukan kueri LDAP terhadap ADS pengontrol domain untuk mendapatkan daftar komputer. Dengan menggunakan daftar ini, ransomware yang dapat dieksekusi akan disalin ke desktop setiap perangkat dan tugas terjadwal yang dikonfigurasi oleh kebijakan grup akan meluncurkan ransomware menggunakan bypass UAC.

Karena ransomware akan dieksekusi menggunakan bypass UAC, program akan berjalan secara diam-diam pada background tanpa adanya peringatan pada perangkat yang dienkripsi. Ini adalah pertama kalinya ransomware dapat mengotomatiskan distribusi malware melalui kebijakan grup.

Versi baru ransomware LockBit 2.0 bisa mengotomatiskan interaksi dan enkripsi berikutnya dari domain Windows menggunakan kebijakan grup Active Directory. Malware ini juga bisa menambahkan pendekatan baru dalam berinteraksi dengan direktori aktif yang menyebarkan ransomware ke domain lokal serta pembaruan kebijakan global bawaan dengan penonaktifan anti-virus yang membuat operasi “pentester” lebih mudah bagi operator malware baru.