
Neue Version der Malware nutzt modernste Anti-Analyse- und Verschleierungstechniken
Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben kürzlich die Ergebnisse einer Analyse zur Schadsoftware LockBit 3.0 veröffentlicht. Bei der Ransomware LockBit 3.0 (auch bekannt als LockBit Black) handelt es sich um eine Weiterentwicklung der weit verbreiteten Ransomware-as-a-Service (RaaS)-Familie, deren Wurzeln bis zu BlackMatter und verwandter Malware zurückreicht. Nachdem im März 2022 kritische Fehler in LockBit 2.0 entdeckt wurden, begannen die Malware-Autoren damit, ihre Verschlüsselungsroutinen zu aktualisieren und mehrere neue Funktionen hinzuzufügen, um Sicherheitsforscher zu täuschen.
Vor einigen Wochen erregte die für die Malware verantwortliche Ransomware-Gruppe zudem Aufsehen in der IT-Medienlandschaft, als die Bedrohungsakteure ein sogenanntes „Bug Bounty“-Programm mit dem Slogan „Make Ransomware Great Again!“ ankündigten. Dabei handet es sich um eine Initiative zur Identifizierung von Fehlern in der Software gegen die Auszahlung eines Preisgeldes für Mitwirkende. Das Ziel ist wohl eine Verbesserung der Qualität der Malware durch ein Outsourcen der Fehlersuche an moralisch flexible Mitglieder der Cyber-Community.
Im Folgenden sollen die wichtigsten Neuerungen und technischen Aspekte der neuen Version von LockBit aufgezeigt werden:
Leaks und Spiegelserver
Die Bedrohungsakteure hinter der LockBit-Ransomware begannen im Juni 2022 mit der Umstellung auf LockBit 3.0. Diese Änderung fand bei Cyberkriminellen sehr schnell Anklang und zahlreiche Opfer wurden auf den neuen „Version 3.0″-Leak-Sites identifiziert. Außerdem haben die Bedrohungsakteure mehrere Spiegelserver für ihre erbeuteten Daten eingerichtet und die URLs der Websites veröffentlicht, um die Widerstandsfähigkeit ihrer Operation zu verbessern.
Nutzdaten und Verschlüsselung
Die anfängliche Übermittlung der LockBit-Ransomware-Nutzdaten wird in der Regel über Drittanbieter-Frameworks wie Cobalt Strike abgewickelt. Wie bei LockBit 2.0 zeigen Beobachtungen, dass Infektionen auch über andere Malware-Komponenten erfolgen, z. B. eine SocGholish-Infektion, die Cobalt Strike auslöst. Bei den Nutzdaten selbst handelt es sich um Standard-Windows-PE-Dateien mit starken Ähnlichkeiten zu früheren Generationen von LockBit- und BlackMatter-Ransomware-Familien. Sie sind so konzipiert, dass sie mit administrativen Rechten ausgeführt werden können, und die Persistenz wird durch die Installation von Systemdiensten erreicht.
Anti-Analyse und Umgehung
Die LockBit 3.0-Ransomware verwendet eine Vielzahl von Anti-Analyse-Techniken, um statische und dynamische Analysen zu verhindern, und weist in dieser Hinsicht Ähnlichkeiten mit der BlackMatter-Ransomware auf. Zu diesen Techniken gehören Code-Packing, die Verschleierung von Aktivitäten, die dynamische Auflösung von Funktionsadressen, Funktionstrampoline und Anti-Debugging-Techniken.
Fazit
Die Gruppe hinter LockBit hat sich schnell zu einem der produktivsten RaaS-Anbieter entwickelt und hat sich als Nachfolger der Ransomware-Gruppe Conti etabliert. Die Bedrohungsakteure haben bewiesen, dass sie schnell auf Probleme mit dem von ihnen angebotenen Produkt reagieren und über das technische Know-how verfügen, sich ständig weiterzuentwickeln. Die jüngste Ankündigung, eine Prämie für das Auffinden von Fehlern in der Software anzubieten, zeugt zudem von einem geschickten Verständnis der eigenen Zielgruppe und der Medienlandschaft, die derzeit regelrecht von Nachrichten über Crimeware und der Kompromittierung von Unternehmen geflutet wird.
Wenn die Strafverfolgungsbehörden nicht konsequent eingreifen, wird diese RaaS auch in absehbarer Zeit weiter ihr Unwesen treiben, ebenso wie zahlreiche weitere Iterationen dieser zweifellos sehr erfolgreichen Angriffstechnik. Wie bei jeder Ransomware sind proaktive Schutzmaßnahmen wirksamer als die Reaktion auf eine erfolgte Kompromittierung. Deshalb sollten Sicherheitsteams sicherstellen, dass sie einen umfassenden Ransomware-Schutz im Einsatz haben.
Weitere Details finden Sie im vollständigen Bericht über LockBit 3.0 von SentinelLabs: https://www.sentinelone.com/labs/lockbit-3-0-update-unpicking-the-ransomwares-latest-anti-analysis-and-evasion-techniques/
Fachartikel

Künstliche Intelligenz und Datenethik: Vier Tipps, wie Unternehmen beides in Einklang bringen können

Gemeinsam Cyberbedrohungen den Garaus machen

LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum

Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn

SD-WAN: Warum DDI der Schlüssel zu effizientem Management ist
Studien

Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten

IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen

Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner

Jedes zweite Fertigungsunternehmen rechnet mit Zunahme von Cyberangriffen – bei weiterhin lückenhafter Cybersicherheit

Hybride Arbeitsmodelle: Firmware-Angriffe nehmen signifikant zu
Whitepaper

Das Erwachen der LNK-Dateien: Cyber-Kriminelle setzen bei Angriffen auf Verknüpfungen

Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück

Ransomware-Vorfälle nehmen weiter zu
