LockBit 2.0 Ransomware is actief en zoekt partners

Tegenwoordig zijn de operaties van ransomware-bendes vaak van korte duur, vooral als ze 'opvallend goud' opleveren - net zoals de REvil Ransomware-bende die stopte na de Colonial Pipeline-hack . Er zijn echter enkele ransomware-families die al meer dan een jaar bestaan en die nog steeds actief op zoek zijn naar partners. Dit is het geval met de LockBit Ransomware, waarvan de 2.0-versie onlangs is uitgebracht. De LockBit 2.0 Ransomware beschikt over een verbeterd algoritme voor bestandscodering en de makers ervan zijn op zoek naar partners via de dataleksite van LockBit. De malware-ontwikkelaars huren andere bedreigingsactoren in om het netwerk en de systemen te compromitteren, maar ze nemen een vergoeding van 20-30% van het losgeld.

Deze campagnes zijn extreem winstgevend voor malware-auteurs, omdat ze gewoon een implantaat en een controlepaneel leveren - het is aan hun gelieerde ondernemingen om de rest te doen. Dit is precies wat bedreigingen zoals de LockBit 2.0 Ransomware zo gevaarlijk maakt: hun bereik is enorm en ze kunnen via allerlei methoden en trucs online worden verspreid.

Een groot deel van de file-lockers richt zich op het versleutelen van de bestanden op de geïnfecteerde machine en het laten vallen van het losgeldbericht. Echter, spraakmakende bedreigingsactoren zoals degene die de LockBit 2.0 Ransomware gebruikt, zullen hier niet tevreden mee zijn. Dit is de reden waarom deze Trojan voor bestandscodering vooraf is geladen met speciale scripts, die tot doel hebben de configuratie van Windows Group Policies te manipuleren. Door te knoeien met deze instellingen probeert de ransomware de veiligheidsmaatregelen van Microsoft te verzachten en het mogelijk te maken om andere apparaten op hetzelfde netwerk te infecteren. Natuurlijk is het volledige proces veel gecompliceerder, maar het eindresultaat is altijd hetzelfde: toegang tot bestanden op meerdere apparaten op het geïnfecteerde netwerk.

Net als andere moderne ransomware, steelt de LockBit 2.0 Ransomware ook bestanden voordat de inhoud ervan wordt versleuteld. Op deze manier hebben de criminelen twee manieren om het slachtoffer af te persen: ze dreigen hun decoderingssleutel te verwijderen en ze dreigen ook de bestanden online te publiceren.

Een bijzonder kenmerk van de LockBit 2.0 Ransomware is dat het probeert om het losgeldbriefje op een interessante manier te bezorgen. Behalve dat het het gebruikelijke document laat vallen, probeert het ook toegang te krijgen tot alle beschikbare printers op het netwerk en vervolgens het losgeldbericht op papier af te drukken. Eerder werd dezelfde tactiek gebruikt door de Egregor Ransomware.

De LockBit 2.0 Ransomware is zonder twijfel springlevend. Hoewel de operators maandenlang stil waren, is hun project zeker nog lang niet dood. Individuen en bedrijven kunnen hun netwerken beschermen door een streng beveiligingsbeleid af te dwingen, gerenommeerde antivirussoftware te gebruiken en ervoor te zorgen dat computeroperators weten hoe ze verdachte sites kunnen vermijden.