LockBit 3.0 Ransomware Builder bringt viele neue Varianten hervor

Die Veröffentlichung des Ransomware-Builders LockBit 3.0 im letzten Jahr führte dazu, dass Bedrohungsakteure das Tool missbrauchten, um neue Variationen zu generieren.

Forscher eines Cybersicherheitsunternehmens bemerkten einen Ransomware-Angriff, bei dem es um eine Version von LockBit ging, der jedoch eine andere Herangehensweise an Lösegeldforderungen verfolgte.

Laut Sicherheitsforschern entschied sich der Angreifer bei diesem Vorfall für einen anderen Lösegeldschein mit einer Überschrift, die mit einer unbekannten Gruppe namens NATIONAL HAZARD AGENCY in Verbindung gebracht wurde.

In der aktualisierten Lösegeldforderung wurde ausdrücklich auf die angegebene Zahlung für den Zugriff auf Entschlüsselungsschlüssel hingewiesen und die Kommunikation an einen Tox-Dienst und eine E-Mail weitergeleitet. Im Gegensatz dazu nennt die LockBit-Gruppe den Betrag nicht und nutzt eine eigene Kommunikations- und Verhandlungsplattform.

NATIONAL HAZARD AGENCY ist nicht die einzige Cyberkriminelle-Gruppe, die den durchgesickerten LockBit 3.0-Builder nutzt. Andere bekannte Bedrohungsakteure, die es genutzt haben, sind Bl00dy und Buhti.

Die Forscher identifizierten in ihren Daten insgesamt 396 einzigartige LockBit-Proben, wobei 312 Artefakte von den durchgesickerten Buildern stammten. Bei etwa 77 Proben fehlte jeglicher Hinweis auf „LockBit“ im Lösegeldschein.

Die Forscher erklärten, dass viele der erkannten Parameter mit nur geringfügigen Anpassungen mit der Standardkonfiguration des Herstellers übereinstimmen. Dies deutet darauf hin, dass diese Proben wahrscheinlich für dringende Zwecke oder von weniger sorgfältigen Akteuren entwickelt wurden.

Warum wird Ransomware-Code recycelt und umbenannt?

Diese Enthüllung fällt mit Netenrichs Untersuchung von ADHUBLLKA zusammen, einer Ransomware-Variante, die seit 2019 mehrere Umbenennungen erfahren hat (BIT, LOLKEK, OBZ, U2K und TZW). Sie richtet sich an Einzelpersonen und kleine Unternehmen und verlangt relativ geringe Auszahlungen zwischen 800 und 1.600 US-Dollar pro Opfer.

Während diese Iterationen geringfügige Unterschiede in den Verschlüsselungsmethoden, Lösegeldforderungen und Kommunikationstechniken aufweisen, bringt eine genauere Analyse sie aufgrund des gemeinsamen Quellcodes und der gemeinsamen Infrastruktur alle mit ADHUBLLKA in Verbindung.

Wenn eine Ransomware in freier Wildbahn Erfolg hat, kommt es häufig vor, dass Cyberkriminelle dieselben Ransomware-Beispiele wiederverwenden und geringfügige Änderungen an ihrer Codebasis vornehmen, um andere Projekte zu starten, fügten Sicherheitsforscher hinzu. Beispielsweise könnten sie den Verschlüsselungsprozess, Lösegeldscheine oder Kommunikationskanäle ändern und sich dann als „neue“ Ransomware wiederherstellen.

Der Bereich der Ransomware entwickelt sich ständig weiter und weist häufige Änderungen bei Strategien und Zielen auf, wobei der Schwerpunkt zunehmend auf Linux-Umgebungen liegt, die Familien wie Trigona, Monti und Akira verwenden. Letzterer weist Verbindungen zu Conti-nahen Bedrohungsakteuren auf.