Home IT Sicherheits Updates Experten finden Ähnlichkeiten zwischen dem neuen LockBit 3.0 und der Ransomware BlackMatter

Experten finden Ähnlichkeiten zwischen dem neuen LockBit 3.0 und der Ransomware BlackMatter

by nwna_de

Cybersicherheitsforscher haben die Ähnlichkeiten zwischen der neuesten Iteration der LockBit-Ransomware und BlackMatter, einer umbenannten Variante des DarkSide-Ransomware-Stamms, der im November 2021 geschlossen wurde, wiederholt.

Die neue Version von LockBit mit dem Namen LockBit 3.0, auch bekannt als LockBit Black, wurde im Juni 2022 veröffentlicht und startete eine brandneue Leak-Site und das allererste Ransomware-Bug-Bounty-Programm neben Zcash als Zahlungsoption für Kryptowährungen.

Sein Verschlüsselungsprozess umfasst das Anhängen der Erweiterung „HLJkNskOq“ oder „19MqZqZ0s“ an jede einzelne Datei und das Ändern der Symbole der gesperrten Dateien zu denen der .ico-Datei, die vom LockBit-Beispiel gelöscht wird, um die Infektion zu starten.

„Die Ransomware hinterlässt dann ihre Lösegeldforderung, die auf ‚Ilon Musk‘ und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verweist“, so Forscher von Trend Micro sagte in einem Montagsbericht. “Zuletzt ändert es das Hintergrundbild des Computers des Opfers, um es über den Ransomware-Angriff zu informieren.”

Internet-Sicherheit

Die weitreichenden Ähnlichkeiten von LockBit mit BlackMatter ergeben sich aus Überschneidungen bei den Privilegien-Eskalations- und Ernteroutinen, die verwendet werden, um APIs zu identifizieren, die zum Beenden von Prozessen und anderen Funktionen erforderlich sind, sowie aus der Verwendung von Anti-Debugging- und Threading-Techniken, die entwickelt wurden, um die Analyse zu vereiteln.

Bemerkenswert ist auch die Verwendung eines “-pass”-Arguments zum Entschlüsseln seiner Hauptroutine, ein Verhalten, das in einer anderen nicht mehr existierenden Ransomware-Familie namens Egregor zu sehen ist, wodurch die Binärdatei effektiv schwieriger rückgängig gemacht werden kann, wenn der Parameter nicht verfügbar ist.

LockBit 3.0 Variante und BlackMatter Ransomware

Darüber hinaus wurde LockBit 3.0 entwickelt, um die Anzeigesprache des Opfercomputers zu überprüfen, um eine Kompromittierung von Systemen zu vermeiden, die mit den Staaten der Gemeinschaft Unabhängiger Staaten (GUS) verbunden sind.

„Ein bemerkenswertes Verhalten dieser dritten LockBit-Version ist ihre Dateilöschtechnik: Anstatt cmd.exe zu verwenden, um eine Batch-Datei oder einen Befehl auszuführen, der die Löschung durchführt, wird eine aus der Binärdatei entschlüsselte .tmp-Datei gelöscht und ausgeführt“, so die Forscher sagte.

Diese .tmp-Datei überschreibt dann den Inhalt der Ransomware-Binärdatei und benennt die Binärdatei dann mehrmals um, wobei die neuen Dateinamen auf der Länge des ursprünglichen Dateinamens basieren, einschließlich der Erweiterung, um eine Wiederherstellung durch forensische Tools und Deckung zu verhindern seine Spuren.

Die Ergebnisse kommen, als LockBit-Infektionen aufgetreten sind am aktivsten Ransomware-as-a-Service (RaaS)-Gruppen im Jahr 2022, die angeblich jüngsten Sein die italienische Steuerbehörde (L’Agenzia delle Entrate).

Internet-Sicherheit

Laut Palo Alto Networks 2022 Unit 42 Incident Response Report Heute auf der Grundlage von 600 Fällen veröffentlicht, die zwischen Mai 2021 und April 2022 behandelt wurden, entfielen 14 % der Angriffe auf die Ransomware-Familie, gefolgt von Conti mit 22 %.

Ransomware-Statistiken

Die Entwicklung unterstreicht auch den anhaltenden Erfolg des RaaS-Geschäftsmodells, das die Eintrittsbarriere für Erpresser senkt und die Reichweite von Ransomware erweitert.

Die Analyse von Check Point zu Cyberangriffstrends für das 2. Quartal 2022 zeigt, dass der wöchentliche Durchschnitt der von Ransomware betroffenen Unternehmen eins von 40 erreichte, was einer Steigerung von 59 % im Jahresvergleich gegenüber einem von 64 Unternehmen im 2. Quartal 2021 entspricht.

„Lateinamerika verzeichnete den größten Anstieg der Angriffe, wo wöchentlich eine von 23 betroffenen Organisationen festgestellt wurde, ein Anstieg von 43 % im Jahresvergleich, verglichen mit einem von 33 im zweiten Quartal 2021, gefolgt von der Region Asien, die einen Anstieg von 33 % im Jahresvergleich verzeichnete Jede Woche ist eines von 17 Unternehmen betroffen”, die israelische Cybersicherheitsfirma sagte.

Via HN