Aktuelles, Branche - geschrieben von dp am Donnerstag, Februar 22, 2024 16:02 - noch keine Kommentare
LockBit versuchte durch Innovation die Oberhand zu behalten
Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus
[datensicherheit.de, 22.02.2024] Auch Trend Micro widmet einen aktuellen Kommentar der Zerschlagung der „LockBit“-Ransomware-Gruppierung: „Als kriminelle Gruppe war ,LockBit’ dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war).“ So habe „LockBit“ im Laufe dieser innovativen Entwicklung mehrere Versionen seiner Ransomware veröffentlicht – von der Version „v1“ (Januar 2020) über „LockBit 2.0“ (Spitzname „Red“, ab Juni 2021) bis hin zu „LockBit 3.0“ („Black’, ab März 2022). Im Oktober 2021 habe der Bedrohungsakteur zudem „Linux“ eingeführt. Schließlich sei im Januar 2023 eine Zwischenversion „Green“ aufgetaucht – „die Code enthielt, der offenbar von der nicht mehr existierenden ,Conti’-Ransomware übernommen wurde“. Diese Version sei jedoch noch nicht eine neue Version „4.0“ gewesen.
Jüngste Herausforderungen und Niedergang der LockBit-Gruppierung
In letzter Zeit hatte die „LockBit“-Gruppe sowohl intern als auch extern mit Problemen zu kämpfen gehabt, „die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten“. Dazu zählten gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen.
Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner hätten die Beziehungen dieser Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen „LockBit“-Version hätten auf den Attraktivitätsverlust der Gruppe hingedeutet.
LockBit 4.0 als mögliche Bedrohung am Horizont
„Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von ,LockBit’ ist, die sich von früheren Versionen unterscheidet.“
Dieses füge verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration sei und daher noch geändert werden könne. „Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante ,LockBit-NG-Dev’, die unserer Meinung nach die Grundlage für ,LockBit 4.0‘ bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.“
Grundlegende LockBit-Neuerungen laut Trend Micro:
- „LockBit-NG-Dev“ sei in „.NET“ geschrieben und mit „CoreRT“ kompiliert worden. „Wenn der Code zusammen mit der ,.NET’-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.“
- Die Codebasis sei durch die Umstellung auf diese Sprache völlig neu – „was bedeutet, dass wahrscheinlich neue Sicherheits-Patterns erstellt werden müssen, um sie zu erkennen“.
- „Im Vergleich zu ,v2‘ (,Red’) und ,v3‘ (,Black’) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt.“ So wie es aussieht, handelt es sich laut Trend Micro „immer noch um eine funktionale und leistungsstarke Ransomware“.
- Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers sei entfernt worden.
- Die Ausführung habe nun eine Gültigkeitsdauer, „indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen“.
- Ähnlich wie „v3“ („Black“) verfüge diese Version immer noch über eine Konfiguration, „die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält“.
- Außerdem könnten die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.
Zukunft wird zeigen, ob Abgesang oder Warnung vor LockBit-Neustart geboten ist
Die cyber-kriminelle Gruppe hinter der „LockBit“-Ransomware habe sich in der Vergangenheit als erfolgreich erwiesen und während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen gehört. „In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.“ Damit sei „LockBit“ gezwungen gewesen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.
Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibe jedoch abzuwarten, „wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten“. In der Zwischenzeit hofft Trend Micro, „dass ,LockBit’ die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist“.
Weitere Informationen zum Thema:
TREND MICRO, Trend Micro Research, 22.02.2024
Ransomware / LockBit Attempts to Stay Afloat With a New Version
FRANKFURTER ALLGEMEINE ZEITUNG, Maximilian Sachse, 21.02.204
Gefürchtete Erpresserbande : Was die Zerschlagung von Lockbit für die Hackerwelt bedeutet
datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert
datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren