IT-Security: Grundlage für LockBit 4.0 entschärft

Trend Micro News

Beitrag teilen

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version des LockBit-Encryptors und machte damit die gesamte Produktlinie für Cyberkriminelle in der Zukunft unbrauchbar.

Als kriminelle Gruppe war LockBit dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren. Im Laufe dieser innovativen Entwicklung hat LockBit mehrere Versionen seiner Ransomware veröffentlicht, von der Version v1 (Januar 2020) über LockBit 2.0 (Spitzname „Red“, ab Juni 2021) bis hin zu LockBit 3.0 („Black“, ab März 2022). Im Oktober 2021 führte der Bedrohungsakteur Linux ein. Schließlich tauchte im Januar 2023 eine Zwischenversion „Green“ auf, die Code enthielt, der offenbar von der nicht mehr existierenden Conti-Ransomware übernommen wurde. Diese Version war jedoch nicht eine neue Version 4.0.

Jüngste Herausforderungen und Niedergang

In letzter Zeit hatte die Gruppe sowohl intern als auch extern mit Problemen zu kämpfen, die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten. Dazu zählen gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen. Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner haben die Beziehungen der Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen LockBit-Version deuten auf den Attraktivitätsverlust der Gruppe hin.

LockBit 4.0 abgefangen

Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von LockBit ist, die sich von früheren Versionen unterscheidet. Das Sample fügt verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration ist und daher noch geändert werden kann. Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante LockBit-NG-Dev, die unserer Meinung nach die Grundlage für LockBit 4.0 bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.

Zu den grundlegenden Änderungen gehören Folgende:

  • LockBit-NG-Dev is in .NET geschrieben und mit CoreRT kompiliert. Wenn der Code zusammen mit der .NET-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.
  • Die Codebasis ist durch die Umstellung auf diese Sprache völlig neu, was bedeutet, dass wahrscheinlich neue Sicherheits-Pattern erstellt werden müssen, um sie zu erkennen.
  • Im Vergleich zu v2 (Red) und v3 (Black) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt. So wie es aussieht, handelt es sich immer noch um eine funktionale und leistungsstarke Ransomware.
  • Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers wurde entfernt.
  • Die Ausführung hat nun eine Gültigkeitsdauer, indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen.
  • Ähnlich wie v3 (Black) verfügt diese Version immer noch über eine Konfiguration, die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält.
  • Außerdem können die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.

Trend Micro bietet online auch eine detaillierte technische Analyse von LockBit-NG-Dev in seinem englischen Blog-Artikel.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Bitterfeld: Ransomware-Attacke kostete 2,5 Millionen Euro

Der Cyberangriff mit Ransomware auf den Landkreis Bitterfeld vor drei Jahren zeigt die unbequeme Wahrheit: es dauerte Jahre die IT ➡ Weiterlesen

Neue Ransomware-Variante Fog entdeckt

Über die Bedrohungsakteure der neuen Ransomware-Variante namens Fog ist noch nicht viel bekannt. Bisher sind nur US-Amerikanische Organisationen davon betroffen ➡ Weiterlesen

Cyberversicherungen liegen im Trend

Cyberversicherungen liegen im Trend: Ein Anbieter von Security Operations veröffentlicht die Ergebnisse seines jährlichen State of Cybersecurity: 2024 Trends Report. ➡ Weiterlesen

Europol: Fast 600 kriminelle Cobalt Strike-Server ausgeschaltet

Alte und unlizenzierte Versionen von Cobalt Strike, das eigentlich legitime Testtool von Pentestern und Red-Teams, sind in den Händen von ➡ Weiterlesen

Kinsing-Malware – Millionen Angriffe täglich

Seit 2019 ist Kinsing-Malware, die insbesondere Cloud-Native-Infrastrukturen angreift, ständig auf dem Vormarsch. Eine neue Studie stellt Angriffstechniken und -taktiken der ➡ Weiterlesen

Ransomware: Verschlüsselte Backups – verdoppeltes Lösegeld 

Wenn das Backup beim Ransomware-Angriff zum Problem wird: Cyberkriminelle richten ihre Verschlüsselungstaten auch auf Backups aus. Warum? Weil so noch ➡ Weiterlesen

Komplexe IT-Sicherheit: 450 Endgeräte – 3 IT-Mitarbeiter

Viele Unternehmen verwenden mehrere Sicherheitslösungen gleichzeitig. Das führt zu einer hohen Komplexität. Malwarebytes hat in einer internationalen Umfrage 50 Unternehmen ➡ Weiterlesen

CISO Umfrage: Die meisten Unternehmen zahlen bei Ransomware

Im Voice of the CISO Report gaben über die Hälfte der befragten CISOs aus deutschen Unternehmen an, dass sie im ➡ Weiterlesen