Die Malwaregruppe Lockbit (früher bekannt als ABCD Ransomware) ist ein seit drei Jahren aktiver Ransomware-as-a-Service (RaaS)-Betreiber, der mit geschicktem Marketing „Affiliates“, also Partner rekrutiert. Diese Partner zahlen der Gruppe einen Teil der Einnahmen aus ihren Erpressungsaktivitäten als Gegenleistung für die Nutzung der Malware, der Entschlüsselungsschlüssel, der Leak-Site und sonstigem Support.

Doel Santos, Sicherheitsanalyst bei Unit 42 von Palo Alto Networks, hat die Aktivitäten der Gruppe und ihre Leak-Site im Dark Web mehrere Monate lang beobachtet. Santos zufolge sind die Opfer über den ganzen Globus verstreut. Hierzu zählen Unternehmen in Argentinien, Australien, Österreich, Belgien, Deutschland, Italien, Malaysia, Mexiko, Rumänien, Großbritannien und den USA.

Santos hat die Gruppe seit Juni genau beobachtet, als sie ihre Leak-Site mit einem neuen Erscheinungsbild relaunchte und die Malware Lockbit 2.0 einführte, die nach eigenen Angaben die schnellste Verschlüsselung auf dem Markt bietet. Seit Juni 2021 haben sie 52 Organisationen aus den Bereichen Buchhaltung, Automobil, Beratung, Technik, Finanzen, Hightech, Gastgewerbe, Versicherungen, Strafverfolgung, egalitäre Dienstleistungen, Fertigung, gemeinnützige Energie, Einzelhandel, Transport und Logistik sowie Versorgungsunternehmen in den folgenden Ländern kompromittiert: Argentinien, Australien, Österreich, Belgien, Brasilien, Deutschland, Italien, Malaysia, Mexiko, Rumänien, Schweiz, Großbritannien und die USA.

Die wichtigsten Ergebnisse

Die Gruppe behauptet, dass Lockbit 2.0 100 Gigabyte an Daten in 4 Minuten und 28 Sekunden verschlüsseln kann, weniger als die Hälfte der Zeit, die bekannte Konkurrenten wie Babuk, Conti, DarkSide, REvil und Ryuk benötigen.

Wenn Lockbit ausgeführt wird, beginnt es mit der Verschlüsselung von Dateien, es fügt die Erweiterung „.lockbit“ hinzu, außerdem ändert die Ransomware das Symbol der verschlüsselten Datei in das Lockbit 2.0-Logo. Nachdem die Verschlüsselung abgeschlossen ist, schickt Lockbit die Lösegeldforderung mit dem Titel „Recover-My-Files.txt“ an die Opfer.

Wenn das Opfer mit den Lockbit-Betreibern kommunizieren möchte, um seine Daten zurückzubekommen, fügen die Betreiber eine „Entschlüsselungs-ID“ und einen TOR-Link (und ihren Clearnet-Mirror: decoding[.]at) auf dem Erpresserbrief ein, damit sich der Benutzer anmelden und den Verhandlungsprozess starten kann.

Wenn die Verschlüsselung erfolgreich ist, ändert die Lockbit 2.0-Ransomware den Desktop-Bildschirmhintergrund des Opfers und macht es so auf die Kompromittierung aufmerksam. Der Bildschirmhintergrund enthält auch Werbung, mit der weitere Partner für das Programm gewonnen werden sollen (Abbildung 3).

In der Werbebotschaft wird das Interesse am Zugang und vertraulichen Informationen bekundet, die helfen können, Daten zu stehlen, wie z. B. RDP- und VPN-Zugangsdaten, E-Mail-Zugang zum Unternehmen, im Austausch für einen Anteil an dem, was das Unternehmen den Bedrohungsakteuren zahlt. Dies ist nicht nur auf die üblichen Cyberkriminellen zugeschnitten, sondern es scheint, dass Lockbit auch versucht, die Insiderbedrohung auszunutzen, der alle Unternehmen zum Opfer fallen könnten.

Hier die Signatur von Lockbit 2.0:

Lockbit 2.0
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Domains

Decoding[.]at
bigblog[.]at

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

14 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

19 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

21 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago