US-Regierungsbehörden haben ein Gutachten veröffentlicht, in der die IoC’s (Indicators of Compromise / Kompromittierungsindikatoren) und die TTP’s (Taktiken, Techniken und Prozesse) im Zusammenhang mit der berüchtigten LockBit 3.0 Lockbit, beschrieben werden.
«Die Ransomware LockBit 3.0 funktioniert als Ransomware-as-a-Service (RaaS) und ist eine Weiterentwicklung der früheren Versionen LockBit 2.0 und LockBit.»
Das Gutachten wurde in einer Zusammenarbeit zwischen dem U.S. Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA) und des Multi-State Information Sharing & Analysis Center (MS-ISAC) erarbeitet, freigegeben und veröffentlicht.
Seit ihrem Auftauchen Ende 2019 haben die LockBit-Akteure erhebliche technische Anstrengungen unternommen, um ihre Malware weiterzuentwickeln und zu verfeinern, und zwei grosse Updates herausgegeben - LockBit 2.0, welches Mitte 2021 veröffentlicht wurde, und LockBit 3.0, welches im Juni 2022 veröffentlicht wurde. Beide Versionen sind auch unter den Bezeichnungen LockBit Red und LockBit Black bekannt.
"LockBit 3.0 verarbeitet zusätzliche Befehle und Variablen für bestimmte Operationen bei der lateralen Bewegung und dem Neustart in den abgesicherten Modus. Wenn ein LockBit-Partner keinen Zugang zu einer passwortloser LockBit 3.0-Ransomware hat, ist die Passwortvariable während der Ausführung der Ransomware zwingend erforderlich."
Die Ransomware ist ausserdem so entwickelt, dass sie nur Rechner infiziert, deren Spracheinstellungen sich nicht mit einer Sprache überschneidet, die in derer Ausschlussliste hinterlegt sind. Zu den ausgeschlossenen Sprachen gehören Rumänisch (Moldawien), Arabisch (Syrien) und Tatarisch (Russland).
Der erste Zugriff auf die Netzwerke der Opfer erfolgt über die Ausnutzung des Remote-Desktop-Protokolls (RDP), Drive-by-Kompromittierung, Phishing-Kampagnen, den Missbrauch gültiger Benutzer-Konten und das Ausnutzen von vorgängig manipulierten, öffentlich zugänglicher Webportalen, Applikationen und eCommerce-Lösungen.
Sobald die Malware einen erfolgreichen Einstiegspunkt gefunden hat, startet sie umgehend Massnahmen, um das eigene Fortbestehen und ein erfolgreicher Angriff sicherzustellen, bevor sie die eigentliche Verschlüsselungsroutine einleitet. Unter anderem:
- Aktuellen Benutzer-Rechte erweitern
- lateral durch die Infrastruktur und das Netzwerk bewegen
- Datensicherungen unbemerkt verschlüsseln
- Protokoll- und Logdateien leeren
- Dateien im Windows-Papierkorb und vorhandene System-Schattenkopien löschen
"Es wurde beobachtet, dass LockBit-Mitglieder bei ihren Hacks verschiedene Freeware- und Open-Source-Tools verwenden"
so die Behörden. Diese Tools werden für eine Reihe von Aktivitäten eingesetzt, wie beispielsweise Netzwerkscans und Analysen, Fernzugriff und -tunneling, Auslesen von Anmeldeinformationen und Dateiexfiltrationen.
Ein charakteristisches Merkmal der Angriffe ist die Verwendung eines benutzerdefinierten Exfiltrationstools mit der Bezeichnung StealBit, welches die LockBit-Gruppe ihren Mitgliedern für die mehrstufige Erpressung der Opfer zur Verfügung stellt.
Im November 2022 berichtete das US-Justizministerium, dass die LockBit-Ransomware gegen mindestens 1.000 Opfer weltweit eingesetzt wurde und der Gruppe über 100 Millionen Dollar an illegalen Gewinnen einbrachte.
Das auf industrielle Cybersicherheit spezialisierte Unternehmen Dragos hat Anfang des Jahres aufgedeckt, dass LockBit 3.0 für 21 % der 189 Ransomware-Angriffe auf kritische Infrastrukturen im vierten Quartal 2022 verantwortlich war, was 40 Vorfällen entspricht. Die meisten dieser Angriffe betrafen die Lebensmittel- und Getränkeindustrie sowie das verarbeitende Gewerbe.
Das Internet Crime Complaint Center (IC3) des FBI listet in seinem jüngsten Internet Crime Report LockBit (149), BlackCat (114) und Hive (87) als die drei wichtigsten Ransomware-Varianten auf, denen kritische Infrastrukturen im Jahr 2022 zum Opfer fielen.
Trotz LockBit's produktiver Angriffswelle erlitt die Ransomware-Gruppierung Ende September 2022 einen schweren Schlag, als ein verärgerter LockBit-Entwickler den Code für LockBit 3.0 veröffentlichte.
Das Gutachten der US-Behörden kommt zum Zeitpunkt, an dem die BianLian Ransomware-Gruppe ihren Schwerpunkt von der Verschlüsselung der Dateien auf reine Erpressungsangriffe mit Datendiebstahl verlagert hat und nachdem das Cybersecurity-Unternehmen Avast im Januar 2023 ein kostenlosen Entschlüsslungsprogramm zur MortalKombat Ransomware von Xorist veröffentlicht hat.
Etwa zeitgleich hat Kaspersky ebenfalls ein kostenloses Entschlüsselungsprogramm veröffentlicht, welches Daten, die auf der Conti-Quellcode basierender Version der Ransomware verschlüsselt wurden, entschlüsseln kann. Der Conti-Quellcode war im 2022 nach dem Einmarsch Russlands in die Ukraine durchgesickert und hatte zu massiven, internen Reibereien zwischen den Kernmitgliedern der Cyberkriminellen Gruppierungen geführt.
"Angesichts der Raffinesse der LockBit 3.0- und Conti-Ransomware-Varianten vergisst man leicht, dass diese kriminellen Unternehmen von Menschen betrieben werden", stellte Intel471 letztes Jahr fest. "Und wie bei ganz normalen Organisationen genügt ein einziger, unzufriedener aber zentraler «Mitarbeiter», um eine komplexe Operation zu disruptieren.
Quelle: The Hackernews.com, Author: Ravie Lakshmanan