IT-Security: Grundlage für LockBit 4.0 entschärft

Trend Micro News

Beitrag teilen

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version des LockBit-Encryptors und machte damit die gesamte Produktlinie für Cyberkriminelle in der Zukunft unbrauchbar.

Als kriminelle Gruppe war LockBit dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren. Im Laufe dieser innovativen Entwicklung hat LockBit mehrere Versionen seiner Ransomware veröffentlicht, von der Version v1 (Januar 2020) über LockBit 2.0 (Spitzname „Red“, ab Juni 2021) bis hin zu LockBit 3.0 („Black“, ab März 2022). Im Oktober 2021 führte der Bedrohungsakteur Linux ein. Schließlich tauchte im Januar 2023 eine Zwischenversion „Green“ auf, die Code enthielt, der offenbar von der nicht mehr existierenden Conti-Ransomware übernommen wurde. Diese Version war jedoch nicht eine neue Version 4.0.

Jüngste Herausforderungen und Niedergang

In letzter Zeit hatte die Gruppe sowohl intern als auch extern mit Problemen zu kämpfen, die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten. Dazu zählen gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen. Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner haben die Beziehungen der Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen LockBit-Version deuten auf den Attraktivitätsverlust der Gruppe hin.

LockBit 4.0 abgefangen

Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von LockBit ist, die sich von früheren Versionen unterscheidet. Das Sample fügt verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration ist und daher noch geändert werden kann. Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante LockBit-NG-Dev, die unserer Meinung nach die Grundlage für LockBit 4.0 bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.

Zu den grundlegenden Änderungen gehören Folgende:

  • LockBit-NG-Dev is in .NET geschrieben und mit CoreRT kompiliert. Wenn der Code zusammen mit der .NET-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.
  • Die Codebasis ist durch die Umstellung auf diese Sprache völlig neu, was bedeutet, dass wahrscheinlich neue Sicherheits-Pattern erstellt werden müssen, um sie zu erkennen.
  • Im Vergleich zu v2 (Red) und v3 (Black) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt. So wie es aussieht, handelt es sich immer noch um eine funktionale und leistungsstarke Ransomware.
  • Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers wurde entfernt.
  • Die Ausführung hat nun eine Gültigkeitsdauer, indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen.
  • Ähnlich wie v3 (Black) verfügt diese Version immer noch über eine Konfiguration, die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält.
  • Außerdem können die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.

Trend Micro bietet online auch eine detaillierte technische Analyse von LockBit-NG-Dev in seinem englischen Blog-Artikel.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

RAG-Entwicklung in nur wenigen Minuten

Playground ist die neue, codearme Benutzeroberfläche von Elastic, der Search AI Company. Damit können Entwickler:innen mit Elasticsearch in nur wenigen ➡ Weiterlesen

Massenhafte Attacken gegen Edge-Dienste

Die Cyber-Bedrohungslandschaft in den Jahren 2023 und 2024 wird von Massenangriffen dominiert. Ein früherer Bericht über die Professionalisierung der Cyberkriminalität ➡ Weiterlesen

Report: 86 Prozent der CISOs setzen auf KI-basierte Cybersecurity

72 Prozent deutscher Chief Information Security Officers (CISOs) sehen im Versagen von Mitarbeitern das größte Cyberrisiko. 62 Prozent von ihnen ➡ Weiterlesen

Ransomware-Angriffe 2023: Über 50 neue Familien und Varianten

Ransomware-Angriffe sind ein großes und teures Problem für Unternehmen. Im letzten Jahr haben die Angriffe deutlich zugenommen, wie die Studie ➡ Weiterlesen

TÜV Rheinland wird Opfer von Cyberangriff

Cyberangriff: Laut einer Meldung wurde bei der Unternehmenstochter, TÜV Rheinland Akademie GmbH von Hackern angegriffen und Daten gestohlen. Laut dem ➡ Weiterlesen

NIS2 als Chance begreifen

Mit der bevorstehenden Frist zur Umsetzung der NIS2-Direktive stehen viele Unternehmen vor einer bedeutenden Herausforderung. Unsere Beobachtungen zeigen, dass viele ➡ Weiterlesen

Die chinesische Hacker-Gruppe Sharp Dragon

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform warnt vor der chinesischen Spionage-Hacker-Gruppe Sharp Dragon, die früher als Sharp Panda aufgetreten ist. ➡ Weiterlesen

Gefahr durch Phishing-as-a-Service-Toolkit V3B

Die Banken und Finanzinstitute in der Europäischen Union sehen sich einer ständig wachsenden Bedrohung durch Cyberangriffe ausgesetzt. Diese Bedrohungen sind ➡ Weiterlesen