LockBit 3.0

LockBit 3.0: SentinelOne analysiert Ransomware-as-a-Service-Familie

LockBit 3.0: SentinelOne analysiert Ransomware-as-a-Service-Familie

Neue Malware-Version nutzt modernste Anti-Analyse- und Verschleierungstechniken

Die Security-Forscher von SentinelLabs , der Research-Abteilung von SentinelOne, haben kürzlich die Ergebnisse einer Analyse zur Schadsoftware LockBit 3.0 veröffentlicht. Bei der Ransomware LockBit 3.0 (auch bekannt als LockBit Black) handelt es sich um eine Weiterentwicklung der weit verbreiteten Ransomware-as-a-Service (RaaS)-Familie, deren Wurzeln bis zu BlackMatter und verwandter Malware zurückreicht. Nachdem im März 2022 kritische Fehler in LockBit 2.0 entdeckt wurden, begannen die Malware-Autoren damit, ihre Verschlüsselungsroutinen zu aktualisieren und mehrere neue Funktionen hinzuzufügen, um Sicherheitsforscher zu täuschen. Vor einigen Wochen erregte die für die Malware verantwortliche Ransomware-Gruppe zudem Aufsehen in der IT-Medienlandschaft, als die Bedrohungsakteure ein sogenanntes „Bug Bounty“-Programm mit dem Slogan „Make Ransomware Great Again!“ ankündigten. Dabei handet es sich um eine Initiative zur Identifizierung von Fehlern in der Software gegen die Auszahlung eines Preisgeldes für Mitwirkende. Das Ziel ist wohl eine Verbesserung der Qualität der Malware durch ein Outsourcen der Fehlersuche an moralisch flexible Mitglieder der Cyber-Community.

Im Folgenden sollen die wichtigsten Neuerungen und technischen Aspekte der neuen Version von LockBit aufgezeigt werden:

Leaks und Spiegelserver

Die Bedrohungsakteure hinter der LockBit-Ransomware begannen im Juni 2022 mit der Umstellung auf LockBit 3.0. Diese Änderung fand bei Cyberkriminellen sehr schnell Anklang und zahlreiche Opfer wurden auf den neuen „Version 3.0"-Leak-Sites identifiziert. Außerdem haben die Bedrohungsakteure mehrere Spiegelserver für ihre erbeuteten Daten eingerichtet und die URLs der Websites veröffentlicht, um die Widerstandsfähigkeit ihrer Operation zu verbessern.

Nutzdaten und Verschlüsselung

Die anfängliche Übermittlung der LockBit-Ransomware-Nutzdaten wird in der Regel über Drittanbieter-Frameworks wie Cobalt Strike abgewickelt. Wie bei LockBit 2.0 zeigen Beobachtungen, dass Infektionen auch über andere Malware-Komponenten erfolgen, z. B. eine SocGholish-Infektion, die Cobalt Strike auslöst. Bei den Nutzdaten selbst handelt es sich um Standard-Windows-PE-Dateien mit starken Ähnlichkeiten zu früheren Generationen von LockBit- und BlackMatter-Ransomware-Familien. Sie sind so konzipiert, dass sie mit administrativen Rechten ausgeführt werden können, und die Persistenz wird durch die Installation von Systemdiensten erreicht.

Anti-Analyse und Umgehung Die LockBit 3.0-Ransomware verwendet eine Vielzahl von Anti-Analyse-Techniken, um statische und dynamische Analysen zu verhindern, und weist in dieser Hinsicht Ähnlichkeiten mit der BlackMatter-Ransomware auf. Zu diesen Techniken gehören Code-Packing, die Verschleierung von Aktivitäten, die dynamische Auflösung von Funktionsadressen, Funktionstrampoline und Anti-Debugging-Techniken.

Fazit

Die Gruppe hinter LockBit hat sich schnell zu einem der produktivsten RaaS-Anbieter entwickelt und hat sich als Nachfolger der Ransomware-Gruppe Conti etabliert. Die Bedrohungsakteure haben bewiesen, dass sie schnell auf Probleme mit dem von ihnen angebotenen Produkt reagieren und über das technische Know-how verfügen, sich ständig weiterzuentwickeln. Die jüngste Ankündigung, eine Prämie für das Auffinden von Fehlern in der Software anzubieten, zeugt zudem von einem geschickten Verständnis der eigenen Zielgruppe und der Medienlandschaft, die derzeit regelrecht von Nachrichten über Crimeware und der Kompromittierung von Unternehmen geflutet wird.

Wenn die Strafverfolgungsbehörden nicht konsequent eingreifen, wird diese RaaS auch in absehbarer Zeit weiter ihr Unwesen treiben, ebenso wie zahlreiche weitere Iterationen dieser zweifellos sehr erfolgreichen Angriffstechnik. Wie bei jeder Ransomware sind proaktive Schutzmaßnahmen wirksamer als die Reaktion auf eine erfolgte Kompromittierung. Deshalb sollten Sicherheitsteams sicherstellen, dass sie einen umfassenden Ransomware-Schutz im Einsatz haben.