<div dir="ltr"><div dir="ltr"><div dir="ltr"><a href="https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/">https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/</a><br></div><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr">A new version of the LockBit 2.0 ransomware has been found that automates the encryption of a Windows domain using Active Directory group policies.</div><div dir="ltr"><br></div><div dir="ltr">The LockBit ransomware operation launched in September 2019 as a ransomware-as-a-service, where threat actors are recruited to breach networks and encrypt devices.</div><div dir="ltr"><br></div><div dir="ltr">In return, the recruited affiliates earn 70-80% of a ransom payment, and the LockBit developers keep the rest.</div><div dir="ltr"><br></div><div dir="ltr">Over the years, the ransomware operation has been very active, with a representative of the gang promoting the activity and providing support on hacking forums.</div><div dir="ltr"><br></div><div dir="ltr">After ransomware topics were banned on hacking forums [1, 2], LockBit  began promoting the new LockBit 2.0 ransomware-as-a-service operation on their data leak site.</div><div dir="ltr"><br></div><div dir="ltr">Included with the new version of LockBit are numerous advanced features, with two of them outlined below.</div><div dir="ltr"><br></div><div dir="ltr">Uses group policy update to encrypt network</div><div dir="ltr"><br></div><div dir="ltr">LockBit 2.0 promotes a long list of features with many used by other ransomware operations in the past.</div><div dir="ltr"><br></div><div dir="ltr">However, one promoted feature stuck out where the developers claim to have automated the ransomware distribution throughout a Windows domain without the need for scripts.</div><div dir="ltr"><br></div><div dir="ltr">When threat actors breach a network and finally gain control of the domain controller, they utilize third-party software to deploy scripts that disable antivirus and then execute the ransomware on the machines on the network.</div><div dir="ltr"><br></div><div dir="ltr">In samples of the LockBit 2.0 ransomware discovered by MalwareHunterTeam and analyzed by BleepingComputer and Vitali Kremez, the threat actors have automated this process so that the ransomware distributes itself throughout a domain when executed on a domain controller.</div><div dir="ltr"><br></div><div dir="ltr">When executed, the ransomware will create new group policies on the domain controller that are then pushed out to every device on the network. </div><div dir="ltr"><br></div><div dir="ltr">These policies disable Microsoft Defender's real-time protection, alerts, submitting samples to Microsoft, and default actions when detecting malicious files, as shown below.</div><div dir="ltr"><br></div><div dir="ltr">[General]</div><div dir="ltr">Version=%s</div><div dir="ltr">displayName=%s</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]</div><div dir="ltr">[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]</div><div dir="ltr"><br></div><div dir="ltr">Other group policies are created, including one to create a scheduled task on Windows devices that launch the ransomware executable.</div><div dir="ltr"><br></div><div dir="ltr">The ransomware will then run the following command to push the group policy update to all of the machines in the Windows domain.</div><div dir="ltr"><br></div><div dir="ltr">powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}"</div><div dir="ltr"><br></div><div dir="ltr">Kremez told BleepingComputer that during this process, the ransomware will also use Windows Active Directory APIs to perform LDAP queries against the domain controller's ADS to get a list of computers.</div><div dir="ltr"><br></div><div dir="ltr">Using this list, the ransomware executable will be copied to each device's desktop and the scheduled task configured by group policies will launch the ransomware using the UAC bypass below:</div><div dir="ltr"><br></div><div dir="ltr">Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration "DisplayCalibrator"</div><div dir="ltr"><br></div><div dir="ltr">As the ransomware will be executed using a UAC bypass, the program will run silently in the background without any outward alert on the device being encrypted.</div><div dir="ltr"><br></div><div dir="ltr">While MountLocker had previously used Windows Active Directory APIs to perform LDAP queries this is the first time we have seen a ransomware automate the distribution of the malware via group policies.</div><div dir="ltr"><br></div><div dir="ltr">"This is the first ransomware operation to automate this process, and it allows a threat actor to disable Microsoft Defender and execute the ransomware on the entire network with a single command," Kremez told BleepingComputer.</div><div dir="ltr"><br></div><div dir="ltr">"A new version of the LockBit 2.0 ransomware has been found that automates the interaction and subsequent encryption of a Windows domain using Active Directory group policies."</div><div dir="ltr"><br></div><div dir="ltr">"The malware added a novel approach of interacting with active directory propagating ransomware to local domains as well as built-in updating global policy with anti-virus disable making "pentester" operations easier for new malware operators."</div><div dir="ltr"><br></div><div dir="ltr">LockBit 2.0 print bombs network printers</div><div dir="ltr"><br></div><div dir="ltr">LockBit 2.0 also includes a feature previously used by the Egregor Ransomware operation that print bombs the ransom note to all networked printers.</div><div dir="ltr"><br></div><div dir="ltr">When the ransomware has finished encrypting a device, it will repeatedly print the ransom note to any connected network printers to get the victim's attention, as shown below.</div><div dir="ltr"><br></div><div dir="ltr">In an Egregor attack against retail giant Cencosud, this feature caused ransom notes to shoot out of receipt printers after they conducted the attack.</div></div></div></div>