APT und gezielte Angriffe
LockBits Versuche die Oberhand zu behalten
Die in der Vergangenheit erfolgreiche kriminelle Gruppe hinter der LockBit-Ransomware hat wohl eine Reihe von logistische, technische und damit rufschädigende Probleme gehabt. Auch mit einer neuen Malware-Version scheint es Verzögerungen zu geben.
LockBit, ein Ransomware-as-a-Service-Geschäftsmodell (RaaS) war im Laufe der Jahre für zahlreiche Sicherheitsvorfälle bei Unternehmen weltweit verantwortlich. In einem typischen RaaS-Setup werden die Einnahmen zwischen den Entwicklern und ihren Partnern, die die Software erworben hatten, aufgeteilt, nachdem das Lösegeld ausgehandelt und bezahlt wurde. LockBit behält normalerweise einen Anteil von 20 % des Lösegelds pro zahlendem Opfer, während die restlichen 80 % an den Partner gehen. Verhandelt jedoch LockBit selbst, steigt diese Gebühr auf 30 % bis 50 %. Im November 2023 führte die Gruppe neue Empfehlungen für die Höhe des Lösegelds ein, die auf dem Einkommen des Opfers basieren und Rabatte von über 50 % verbieten.
Aus rein technischer Sicht war das Besondere an LockBit im Vergleich zu anderen konkurrierenden Ransomware-Paketen, dass die Malware sich selbst weiter ausbreiten kann. Sobald ein Host im Netzwerk infiziert wird, ist LockBit in der Lage, nach anderen Zielen in der Nähe zu suchen und zu versuchen, diese ebenfalls zu infizieren - eine Technik, die bei dieser Art von Malware nicht üblich war.
Als kriminelle Gruppe war LockBit dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war). So rief sie beispielsweise einen öffentlichen Wettbewerb – „Bug Bounty“ - ins Leben, um neue Ideen aus der cyberkriminellen Community zur Verbesserung ihrer Ransomware zu generieren. Auch entwickelte und pflegte die Gruppe eine einfache Point-and-Click-Schnittstelle, über die ein Cyberkrimineller verschiedene Optionen auswählen konnte, bevor er die endgültige Binärdatei für den Angriff zusammenstellte, wodurch die technische Einstiegshürde für ihre kriminellen Partner gesenkt wurde.
Im Laufe dieser innovativen Entwicklung hat LockBit mehrere Versionen seiner Ransomware veröffentlicht, von der Version v1 (Januar 2020) über LockBit 2.0 (Spitzname „Red“, ab Juni 2021) bis hin zu LockBit 3.0 („Black“, ab März 2022). Im Oktober 2021 führte der Bedrohungsakteur LockBit Linux ein. Schließlich tauchte im Januar 2023 eine Zwischenversion „Green“ auf, die Code enthielt, der offenbar von der nicht mehr existierenden Conti-Ransomware übernommen wurde. Diese Version war jedoch nicht eine neue Version 4.0.
In letzter Zeit hatte die Gruppe sowohl intern als auch extern mit Problemen zu kämpfen, die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten. Die Gruppe hat auch eine noch in der Entwicklung befindliche Version der von uns als LockBit-NG-Dev (NG für Next Generation) bezeichneten Ransomware, bei der es sich um eine kommende Version handeln könnte, vielleicht die echte 4.0? Eine detaillierte technische Analyse von LockBit-NG-Dev bietet der Anhang im Originaltext.
Jüngste Probleme von LockBit
Die LockBit-Gruppe musste interne Sicherheitsvorfälle verkraften, was auf die verteilte, halb-anonyme Struktur der Gruppe selbst und die Interaktionen zwischen den Mitgliedern des Partnerprogramms und den LockBit-Betreibern zurückzuführen ist.
Auch gab es Informationslecks durch unzufriedene Entwickler oder Gruppenmitglieder. Im September 2022 wurde der Builder für die Ransomware von einem der Gruppe nahestehenden Entwickler veröffentlicht. Dies hatte erhebliche Auswirkungen auf die cyberkriminelle Szene, da die Hemmschwelle für Kriminelle gesenkt wurde, ein eigenes RaaS-Unternehmen mit Hilfe von Klonen des LockBit-Betriebs zu gründen.
Werden Builds geleakt, kann dies auch die Zuordnung trüben. So beobachteten wir etwa im November 2023 eine andere Gruppe, die sich unter dem Namen Spacecolon als LockBit ausgab. Die Gruppe verwendete E-Mail-Adressen und URLs, die den Opfern den Eindruck vermittelten, sie hätten es mit LockBit zu tun. Sie nutzten sogar eine LockBit-gleiche Leak-Site.
Der geleakte Build war aus mehreren Gründen ein schwerer Schlag für das LockBit-Unternehmen:
- Die Tatsache, dass er überhaupt von einem verärgerten Entwickler geleakt wurde, zeigt, dass bei LockBit nicht alles glatt läuft. Alles, was auf interne Unzufriedenheit hindeutet, wird zweifellos für aktuelle oder potenzielle Affiliates beunruhigend.
- Ein Leck wie dieses sollte als das bezeichnet werden, was es ist - ein Sicherheitsversagen. Wenn ihr Kern-Build nach außen dringen kann, fragen sich die Affiliates vielleicht, ob es noch andere Sicherheitsmängel gibt.
- Jeder technische Vorteil, den LockBit gehabt haben mag, ist durch den geleakten Build stark geschmälert. Andere Gruppen, die ihr eigenes RaaS starten wollen, haben nun gleiche Voraussetzungen, ohne monatelange Entwicklungsarbeit und Kosten, die mit dem Aufbau eines Betriebs von Grund auf verbunden sind, in Kauf nehmen zu müssen.
- Die "Marke" LockBit hat wahrscheinlich einen Dämpfer erlitten, auch wenn die Betreiber gerne behaupten, dass alles reibungslos läuft. Es wäre zu erwarten gewesen, dass LockBit nach dem Leck versucht hätte, seinen Build zu ändern und etwas Innovatives hinzuzufügen, um seine Position als führender RaaS-Anbieter zu stärken. Die Entwicklung von LockBit scheint jedoch zu stagnieren. Dies führt möglicherweise zurück zur Quelle des Lecks: Handelt es sich bei dem verärgerten Mitarbeiter um einen der Kernentwickler, der nur mit Mühe ersetzt werden konnte?
In den letzten Monaten hat das Vertrauen in LockBit abgenommen. Es gab mehrere Faktoren, die den Affiliates Sorgen bereiteten. Im April 2023 begann die Gruppe, mehrere Einträge auf der Leak-Site zu veröffentlichen, die Fake-Opfer mit erfundenen geleakten Daten enthielten. Es ist möglich, dass es sich dabei um interne Tests handelte. Wahrscheinlicher ist jedoch, dass dies ein Versuch war, die Zahl der Opfer künstlich in die Höhe zu treiben, um den Eindruck von Erfolg zu erwecken.
Eines der größten Probleme ist die offensichtliche Instabilität der Infrastruktur des Akteurs. Bei einer Ransomware-Operation hängt die Verhandlungsphase in hohem Maße von der Drohung mit der Veröffentlichung der Daten ab. Wenn die geleakten Daten nicht verfügbar sind, wird es für die Affiliates schwieriger, den für eine erfolgreiche Verhandlung erforderlichen Druck auszuüben. Im August 2023 beobachteten wir ein ungewöhnliches Verhalten auf der Leak-Site von LockBit, bei dem
Im August 2023 beobachteten wir ein ungewöhnliches Verhalten auf der Leak-Site von LockBit, bei dem Opfer innerhalb von Minuten hinzugefügt und entfernt wurden, was zu einer Fehlermeldung führte.
In der ersten Hälfte 2023 behauptete die Gruppe außerdem mehrfach, sie habe Daten veröffentlicht, nachdem eine Organisation eine Lösegeldforderung nicht bezahlt hatte. Interessant ist, dass es keine Möglichkeit gab, die „veröffentlichten“ Daten herunterzuladen - es gab lediglich eine Meldung, dass die Dateien veröffentlicht wurden.
Im September 2023 schlug LockBitSupp in einer Tox-Nachricht vor, neue Regeln für Partner einzuführen, um die Verhandlungen zu verbessern. Der Rückgang erfolgreicher Verhandlungen und der zunehmende Frust bei den Verhandlungsführern könnte darauf hindeuten, dass die Qualität der Affiliates durch den Mangel an Innovation und anhaltende technische Probleme beeinträchtigt wurde. Der Vorschlag sah eine Mindestzahlung und einen festen Rabatt von 50 % vor. Außerdem wurde vorgeschlagen, dass die Zahlung nicht unter dem von der Versicherung des Opfers gedeckten Betrag liegen sollte
Anfang November beobachteten wir auch ein ungewöhnliches Verhalten bei den gespiegelten Leakseiten. Mehrere Tage lang gab es Unstimmigkeiten beim Versuch, darauf zuzugreifen, und viele der Seiten leiteten auf die Opfer-Chat-Seite um. Dies ist ein weiteres Beispiel für die Vielzahl technischer Probleme, unter denen die Gruppe zu leiden scheint, während sie versucht, eine stabile operative Infrastruktur aufrechtzuerhalten.
Es gibt mehrere Faktoren, die einen potenziellen Partner davon abhalten können, der Gruppe beizutreten, nachdem es so viele negative Situationen gegeben hat:
- Die Affiliates scheinen das Vertrauen in das Programm zu verlieren. Zu den technischen Problemen kommt noch hinzu, dass es bei den Betreibern Personalmangel zu geben scheint. Sie sind nicht mehr so reaktionsschnell wie früher und brauchen manchmal Tage oder sogar Wochen, um auf Anfragen zu antworten.
- Die neuen Affiliate-Regeln, die Lösegeldforderungen standardisieren und den Betrag, den ein Affiliate verdienen kann, einschränken, kommen möglicherweise nicht gut an.
- Die Verzögerung einer aktualisierten Version von LockBit in Verbindung mit den Versuchen, an konkurrierende Builds zu gelangen, deutet darauf hin, dass es an Innovation im Unternehmen fehlt und dass der/die Hauptentwickler privat weitergezogen sein könnten.
- Der jüngste öffentliche Aufruf an ALPHV (BlackCat) und NoEscape-Mitglieder, sich der LockBit-Gruppe anzuschließen, klingt etwas nach Verzweiflung. Früher drängten sich die Bedrohungsakteure um die Gruppe.
Ende Januar 2024 eröffnete ein böswilliger Akteur unter dem Pseudonym „michon“ im XSS-Forum einen Thread zu einem Schiedsverfahren gegen LockBitSupp. Er behauptete, dass LockBitSupp sich weigerte, für den von ihm gewährten Zugang zu zahlen, der zu einer Ransomware-Auszahlung geführt hatte. Einzelheiten dazu liefert der Originalbeitrag. Am Ende des Threads wurde LockBitSupp angewiesen, innerhalb von 24 Stunden 10 % des Lösegelds an den Antragsteller zu zahlen. Ende Januar 2024 dann wurde LockBitSupp aus dem XSS Forum verbannt und erhielt den Status eines Betrügers.
LockBits Niedergang
Unseren Daten zu bestätigten Sicherheitsverletzungen zufolge gibt es einige Anzeichen dafür, dass LockBit zwar seine Position als Einbruchssoftware mit der größten Anzahl von Angriffen beibehalten hat, sein Gesamtanteil an den Auswirkungen von Ransomware in den letzten zwei Jahren jedoch stetig zurückgegangen ist. Ein deutlicher Rückgang ist zu verzeichnen, wenn wir die Zahlen für LockBit 2.0 und die Umstellung auf LockBit 3.0 betrachten, obwohl es im vierten Quartal 2023 ein leichter Anstieg gab, der möglicherweise auf die verstärkten Strafverfolgungsaktivitäten gegen rivalisierende Gruppen zurückzuführen ist. LockBit bot den angeschlossenen Unternehmen in diesem Zeitraum die Möglichkeit, auf ihre Operation umzusteigen.
Bedrohungsakteure mit Verbindung zu LockBit
Es gibt mehrere Spitznamen und Online-Personen, die häufig mit LockBit in Verbindung gebracht werden, darunter LockBit (Forumsbenutzer) und LockBitSupp (Forumsbenutzer). Die offizielle Online-Präsenz der Gruppe erfolgte über „LockBitSupp“ - den Benutzernamen, der von dem/den Benutzer(n) verwendet wird, die LockBit-Support anbieten - und „LockBit“, ein allgemeineres Konto, das in mehreren Gesprächen eine direkte Beteiligung am Affiliate-Programm von LockBit gezeigt hat.
Ein weiteres prominentes Mitglied des kriminellen Untergrunds, Bassterlord, soll mit der LockBit-Gruppe in Verbindung stehen. Bassterlord ist ein Krimineller, der behauptet, aus der Ukraine zu stammen und zuvor mit der REvil RaaS-Gruppe zusammengearbeitet zu haben. Er ist in der Cybercrime-Community für den Verkauf der zweiten Auflage seines Handbuchs für Angriffe auf Unternehmensnetzwerke bekannt. Bassterlords Handle im XSS-Forum wurde in „National Hazard Agency“ umbenannt, bei der es sich vermutlich um eine Untergruppe innerhalb der LockBit-Operation handelt. Diese Gruppe hat die Verantwortung für hochkarätige Angriffe. Ein bekannter Handle, der von Bassterlord auf Twitter verwendet wird („AL3xL7“), hat seine Zugehörigkeit zur LockBit-Gruppe offen erwähnt.
Erwähnenswert ist auch ein anderes Mitglied des Cybercrime-Untergrunds mit früheren Verbindungen zu LockBit ist der bösartige Akteur „wazawaka“ (vom FBI als Mikhail Matveev identifiziert). Auch hat er regelmäßig mit Bassterlord kommuniziert und Andeutungen gemacht hat, dem LockBit-Partnerprogramm wieder beizutreten.
Ein unbekannter Akteur, „Ali_qushji“, behauptete, die LockBit-Serverinfrastruktur kompromittiert zu haben. LockBitSupp widersprach dieser Information und erwähnte, dass das Leck tatsächlich von einem verärgerten Entwickler stammt.
Die neue LockBit-NG-Dev-Version
Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von LockBit ist, die sich von früheren Versionen unterscheidet. Das Sample fügt verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration ist und daher noch geändert werden kann. Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante LockBit-NG-Dev, die unserer Meinung nach die Grundlage für LockBit 4.0 bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.
Zu den grundlegenden Änderungen gehören folgende:
- LockBit-NG-Dev is in .NET geschrieben und mit CoreRT kompiliert. Wenn der Code zusammen mit der .NET-Umgebung eingesetzt wird, ist er dadurch plattformunabhängiger.
- Die Codebasis ist durch die Umstellung auf diese Sprache völlig neu, was bedeutet, dass wahrscheinlich neue Sicherheits-Pattern erstellt werden müssen, um sie zu erkennen.
- Im Vergleich zu v2 (Red) und v3 (Black) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt. So wie es aussieht, handelt es sich immer noch um eine funktionale und leistungsstarke Ransomware.
- Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers wurde entfernt.
- Die Ausführung hat nun eine Gültigkeitsdauer, indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen.
- Ähnlich wie v3 (Black) verfügt diese Version immer noch über eine Konfiguration, die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält.
- Außerdem können die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.
Fazit
Die kriminelle Gruppe hinter der LockBit-Ransomware hat sich in der Vergangenheit als erfolgreich erwiesen und gehörte während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen. In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.
Damit war LockBit gezwungen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten. Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibt jedoch abzuwarten, wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten. In der Zwischenzeit hoffen wir, dass LockBit die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist.
Diese Untersuchung ist das Ergebnis unserer Zusammenarbeit mit der National Crime Agency im Vereinigten Königreich, die vor kurzem im Rahmen einer internationalen Aktion gegen LockBit vorgegangen ist, um die Infrastruktur der Gruppe zu stören und ihre Aktivitäten zu behindern.