Il ransomware LockBit crittografa i domini Windows

Una nuova versione del ransomware LockBit 2.0 è in grado di automatizzare la crittografia di un dominio Windows utilizzando i criteri di gruppo di Active Directory.

LockBit 2.0 include anche una funzionalità precedentemente utilizzata dall’operazione Egregor Ransomware che stampa la richiesta di riscatto su tutte le stampanti in rete.

Quando il ransomware ha finito di crittografare un dispositivo, stamperà ripetutamente la richiesta di riscatto su qualsiasi stampante di rete connessa per mettere a conoscenza la vittima.

I criteri elancati disabilitano la protezione in tempo reale di Microsoft Defender, gli avvisi, l’invio di campioni a Microsoft e le azioni predefinite durante il rilevamento di file dannosi, come mostrato di seguito.

[General]
Version=%s
displayName=%s
[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]
[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]