
Neue Version der Malware nutzt modernste Anti-Analyse- und Verschleierungstechniken
Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben kürzlich die Ergebnisse einer Analyse zur Schadsoftware LockBit 3.0 veröffentlicht. Bei der Ransomware LockBit 3.0 (auch bekannt als LockBit Black) handelt es sich um eine Weiterentwicklung der weit verbreiteten Ransomware-as-a-Service (RaaS)-Familie, deren Wurzeln bis zu BlackMatter und verwandter Malware zurückreicht. Nachdem im März 2022 kritische Fehler in LockBit 2.0 entdeckt wurden, begannen die Malware-Autoren damit, ihre Verschlüsselungsroutinen zu aktualisieren und mehrere neue Funktionen hinzuzufügen, um Sicherheitsforscher zu täuschen.
Vor einigen Wochen erregte die für die Malware verantwortliche Ransomware-Gruppe zudem Aufsehen in der IT-Medienlandschaft, als die Bedrohungsakteure ein sogenanntes „Bug Bounty“-Programm mit dem Slogan „Make Ransomware Great Again!“ ankündigten. Dabei handet es sich um eine Initiative zur Identifizierung von Fehlern in der Software gegen die Auszahlung eines Preisgeldes für Mitwirkende. Das Ziel ist wohl eine Verbesserung der Qualität der Malware durch ein Outsourcen der Fehlersuche an moralisch flexible Mitglieder der Cyber-Community.
Im Folgenden sollen die wichtigsten Neuerungen und technischen Aspekte der neuen Version von LockBit aufgezeigt werden:
Leaks und Spiegelserver
Die Bedrohungsakteure hinter der LockBit-Ransomware begannen im Juni 2022 mit der Umstellung auf LockBit 3.0. Diese Änderung fand bei Cyberkriminellen sehr schnell Anklang und zahlreiche Opfer wurden auf den neuen „Version 3.0″-Leak-Sites identifiziert. Außerdem haben die Bedrohungsakteure mehrere Spiegelserver für ihre erbeuteten Daten eingerichtet und die URLs der Websites veröffentlicht, um die Widerstandsfähigkeit ihrer Operation zu verbessern.
Nutzdaten und Verschlüsselung
Die anfängliche Übermittlung der LockBit-Ransomware-Nutzdaten wird in der Regel über Drittanbieter-Frameworks wie Cobalt Strike abgewickelt. Wie bei LockBit 2.0 zeigen Beobachtungen, dass Infektionen auch über andere Malware-Komponenten erfolgen, z. B. eine SocGholish-Infektion, die Cobalt Strike auslöst. Bei den Nutzdaten selbst handelt es sich um Standard-Windows-PE-Dateien mit starken Ähnlichkeiten zu früheren Generationen von LockBit- und BlackMatter-Ransomware-Familien. Sie sind so konzipiert, dass sie mit administrativen Rechten ausgeführt werden können, und die Persistenz wird durch die Installation von Systemdiensten erreicht.
Anti-Analyse und Umgehung
Die LockBit 3.0-Ransomware verwendet eine Vielzahl von Anti-Analyse-Techniken, um statische und dynamische Analysen zu verhindern, und weist in dieser Hinsicht Ähnlichkeiten mit der BlackMatter-Ransomware auf. Zu diesen Techniken gehören Code-Packing, die Verschleierung von Aktivitäten, die dynamische Auflösung von Funktionsadressen, Funktionstrampoline und Anti-Debugging-Techniken.
Fazit
Die Gruppe hinter LockBit hat sich schnell zu einem der produktivsten RaaS-Anbieter entwickelt und hat sich als Nachfolger der Ransomware-Gruppe Conti etabliert. Die Bedrohungsakteure haben bewiesen, dass sie schnell auf Probleme mit dem von ihnen angebotenen Produkt reagieren und über das technische Know-how verfügen, sich ständig weiterzuentwickeln. Die jüngste Ankündigung, eine Prämie für das Auffinden von Fehlern in der Software anzubieten, zeugt zudem von einem geschickten Verständnis der eigenen Zielgruppe und der Medienlandschaft, die derzeit regelrecht von Nachrichten über Crimeware und der Kompromittierung von Unternehmen geflutet wird.
Wenn die Strafverfolgungsbehörden nicht konsequent eingreifen, wird diese RaaS auch in absehbarer Zeit weiter ihr Unwesen treiben, ebenso wie zahlreiche weitere Iterationen dieser zweifellos sehr erfolgreichen Angriffstechnik. Wie bei jeder Ransomware sind proaktive Schutzmaßnahmen wirksamer als die Reaktion auf eine erfolgte Kompromittierung. Deshalb sollten Sicherheitsteams sicherstellen, dass sie einen umfassenden Ransomware-Schutz im Einsatz haben.
Weitere Details finden Sie im vollständigen Bericht über LockBit 3.0 von SentinelLabs: https://www.sentinelone.com/labs/lockbit-3-0-update-unpicking-the-ransomwares-latest-anti-analysis-and-evasion-techniques/
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
