A Symantec, uma divisão da Broadcom Software, observou os agentes de ameaças estão visando máquinas Windows para espalhar o ransomware LockBit.

Em um ataque observado pela Symantec, o LockBit foi visto identificando informações relacionadas ao domínio, criando uma política de grupo para movimentação lateral e executando um comandos em todos os sistemas dentro do mesmo domínio, que atualiza a política de grupo.

Pouco depois de aparecer pela primeira vez em setembro de 2019, a gangue expandiu suas operações, usando uma rede de afiliadas para implantar o ransomware LockBit nas redes das vítimas.

O ransomware, que atualmente atingiu a versão 3.0, evoluiu nos últimos anos, assim como seus operadores que lançaram recentemente um programa de recompensas de bugs para eliminar pontos fracos no código do malware e na operação RaaS como um todo.

As políticas de proteção do Symantec Data Center Security (DCS) para servidores Windows e controladores de domínio impedem a instalação do ransomware LockBit.

O bloqueio padrão do DCS impede o movimento lateral do LockBit ransomware na rede e protege os servidores das tentativas de execução do LockBit de adulterar as Políticas de Grupo e recursos críticos do sistema.