LockBit勒索軟件使伺服器成為攻擊目標

Symantec觀察到攻擊者以伺服器為目標，以便在受攻擊的網路中散播LockBit勒索軟件。

LockBit勒索軟件即服務（ransomware-as-a-service ，RaaS）的操作者被Symantec追蹤為Syrphid。該團體利用一個附屬機構網路在受害者網路上部署LockBit勒索軟件。 Symantec的Vishal Kamble和Lahu Khatal最近觀察到LockBit附屬機構在攻擊中以伺服器為目標。

研究人員表示在一次攻擊中，LockBit被視為識別網域的相關信息，為lateral movement創建了一個Group Policy，並在同一網域內的所有系統上執行了gpupdate /force命令，強行更新Group Policy。

研究人員解釋說：「LockBit在帶有網域控制器的伺服器與Windows 10上的行為有所不同。當在伺服器上執行時，它有能力使用Group Policy在網络上傳播。」

在投放和執行LockBit勒索軟件之前，攻擊者對企業網路的RDP訪問至少維持數星期。

了解更多：Symantec