Aktuelles, Branche - geschrieben von dp am Donnerstag, Februar 22, 2024 16:02 - noch keine Kommentare
LockBit versuchte durch Innovation die Oberhand zu behalten
Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus
[datensicherheit.de, 22.02.2024] Auch Trend Micro widmet einen aktuellen Kommentar der Zerschlagung der „LockBit“-Ransomware-Gruppierung: „Als kriminelle Gruppe war ,LockBit’ dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war).“ So habe „LockBit“ im Laufe dieser innovativen Entwicklung mehrere Versionen seiner Ransomware veröffentlicht – von der Version „v1“ (Januar 2020) über „LockBit 2.0“ (Spitzname „Red“, ab Juni 2021) bis hin zu „LockBit 3.0“ („Black’, ab März 2022). Im Oktober 2021 habe der Bedrohungsakteur zudem „Linux“ eingeführt. Schließlich sei im Januar 2023 eine Zwischenversion „Green“ aufgetaucht – „die Code enthielt, der offenbar von der nicht mehr existierenden ,Conti’-Ransomware übernommen wurde“. Diese Version sei jedoch noch nicht eine neue Version „4.0“ gewesen.
Jüngste Herausforderungen und Niedergang der LockBit-Gruppierung
In letzter Zeit hatte die „LockBit“-Gruppe sowohl intern als auch extern mit Problemen zu kämpfen gehabt, „die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten“. Dazu zählten gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen.
Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner hätten die Beziehungen dieser Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen „LockBit“-Version hätten auf den Attraktivitätsverlust der Gruppe hingedeutet.
LockBit 4.0 als mögliche Bedrohung am Horizont
„Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von ,LockBit’ ist, die sich von früheren Versionen unterscheidet.“
Dieses füge verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration sei und daher noch geändert werden könne. „Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante ,LockBit-NG-Dev’, die unserer Meinung nach die Grundlage für ,LockBit 4.0‘ bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.“
Grundlegende LockBit-Neuerungen laut Trend Micro:
- „LockBit-NG-Dev“ sei in „.NET“ geschrieben und mit „CoreRT“ kompiliert worden. „Wenn der Code zusammen mit der ,.NET’-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.“
- Die Codebasis sei durch die Umstellung auf diese Sprache völlig neu – „was bedeutet, dass wahrscheinlich neue Sicherheits-Patterns erstellt werden müssen, um sie zu erkennen“.
- „Im Vergleich zu ,v2‘ (,Red’) und ,v3‘ (,Black’) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt.“ So wie es aussieht, handelt es sich laut Trend Micro „immer noch um eine funktionale und leistungsstarke Ransomware“.
- Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers sei entfernt worden.
- Die Ausführung habe nun eine Gültigkeitsdauer, „indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen“.
- Ähnlich wie „v3“ („Black“) verfüge diese Version immer noch über eine Konfiguration, „die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält“.
- Außerdem könnten die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.
Zukunft wird zeigen, ob Abgesang oder Warnung vor LockBit-Neustart geboten ist
Die cyber-kriminelle Gruppe hinter der „LockBit“-Ransomware habe sich in der Vergangenheit als erfolgreich erwiesen und während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen gehört. „In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.“ Damit sei „LockBit“ gezwungen gewesen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.
Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibe jedoch abzuwarten, „wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten“. In der Zwischenzeit hofft Trend Micro, „dass ,LockBit’ die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist“.
Weitere Informationen zum Thema:
TREND MICRO, Trend Micro Research, 22.02.2024
Ransomware / LockBit Attempts to Stay Afloat With a New Version
FRANKFURTER ALLGEMEINE ZEITUNG, Maximilian Sachse, 21.02.204
Gefürchtete Erpresserbande : Was die Zerschlagung von Lockbit für die Hackerwelt bedeutet
datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert
datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren