In Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die unveröffentlichte Version des LockBit-Encryptors (genannt Lockbit-NG-Dev) und machte damit die gesamte Produktlinie für Cyberkriminelle in der Zukunft unbrauchbar. Einzigartig an der Aktion ist, dass der Schutz gegen die zukünftige Malware bereits vorhanden ist, bevor die kriminelle Gruppe die Tests überhaupt abschließen konnte.
Die proaktive Zusammenarbeit mit der NCA stellte also sicher, dass Lockbit das Geschäftsmodell entzogen wurde und die Gruppierung mit ihren eigenen Waffen geschlagen wurden – LockBit wurde selbst gehackt. Diese Diskreditierung der Gruppierung durch die NCA und ihre Partner macht deutlich, dass kein vernünftiger Krimineller mehr mit ihr in Verbindung gebracht werden möchte.
Als kriminelle Gruppe war LockBit dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war). Im Laufe dieser innovativen Entwicklung hat LockBit mehrere Versionen seiner Ransomware veröffentlicht, von der Version v1 (Januar 2020) über LockBit 2.0 (Spitzname „Red“, ab Juni 2021) bis hin zu LockBit 3.0 („Black“, ab März 2022).
Im Oktober 2021 führte der Bedrohungsakteur Linux ein. Schließlich tauchte im Januar 2023 eine Zwischenversion „Green“ auf, die Code enthielt, der offenbar von der nicht mehr existierenden Conti-Ransomware übernommen wurde. Diese Version war jedoch nicht eine neue Version 4.0.
Jüngste Herausforderungen und Niedergang
In letzter Zeit hatte die Gruppe sowohl intern als auch extern mit Problemen zu kämpfen, die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten. Dazu zählen gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen. Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner haben die Beziehungen der Gruppe zudem weiter belastet.
Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen LockBit-Version deuten auf den Attraktivitätsverlust der Gruppe hin.
Trend Micro zu LockBit 4.0
Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von LockBit ist, die sich von früheren Versionen unterscheidet. Das Sample fügt verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration ist und daher noch geändert werden kann. Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante LockBit-NG-Dev, die unserer Meinung nach die Grundlage für LockBit 4.0 bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.
Zu den grundlegenden Änderungen gehören:
- LockBit-NG-Dev is in .NET geschrieben und mit CoreRT kompiliert. Wenn der Code zusammen mit der .NET-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.
- Die Codebasis ist durch die Umstellung auf diese Sprache völlig neu, was bedeutet, dass wahrscheinlich neue Sicherheits-Pattern erstellt werden müssen, um sie zu erkennen.
- Im Vergleich zu v2 (Red) und v3 (Black) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt. So wie es aussieht, handelt es sich immer noch um eine funktionale und leistungsstarke Ransomware.
- Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers wurde entfernt.
- Die Ausführung hat nun eine Gültigkeitsdauer, indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen.
- Ähnlich wie v3 (Black) verfügt diese Version immer noch über eine Konfiguration, die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält.
- Außerdem können die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.
Fazit
Die kriminelle Gruppe hinter der LockBit-Ransomware hat sich in der Vergangenheit als erfolgreich erwiesen und gehörte während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen. In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.
Damit war LockBit gezwungen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten. Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibt jedoch abzuwarten, wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten.
In der Zwischenzeit ist zu hoffen, dass LockBit die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist.