LockBit 勒索軟體現可利用群組原則，自動加密 Windows 網域下所有電腦

資安專家發現，新版 LockBit 勒贖軟體 2.0 版多出數項新功能，其中一項可透過 Windows Server 設定的群組原則，自動加密整個 Windows 網域下的所有電腦。使用 Windows Server 管理旗下所有電腦的企業網域管理員，應特別提高警覺。

LockBit 勒贖軟體出現於 2019 年 9 月，是一個「勒贖軟體即服務」(Ransomware as a service），想要發動勒贖攻擊的人，可以「租用」他們的服務，並且設定要攻擊的對象。

一旦勒贖攻擊成功令受害者支付贖款，租用服務的人可以得到 70%~80% 的贖金，LockBit 的開發團隊則會收取其餘的贖款做為佣金。

近年來，LockBit 的勒贖攻擊相當猖獗，其團隊成員為了「促銷」，也在許多駭侵相關論壇主動提供各種「支援」；在許多駭侵相關論壇紛紛禁止勒贖相關主題貼文後，LockBit 的活動便轉到該團體自己設立的資料洩露網站中。

在該團體網站中，最近公布的 LockBit 2.0 最新功能中，即包括可利用群組原則，自動感染 Windows 網域控制站旗下所有 Windows 電腦的功能；攻擊者不必自行撰寫程式碼進行勒贖軟體「布署」，只要取得 Windows Server 網域控制器的存取權，就會自動進行布署。

執行時，LockBit 2.0 會自動産生新的群組原則設定檔，並且禁用 Microsoft Defender 的即時防護功能，避免布署活動遭到阻斷。

本文轉載自TWCERT/CC。