Lockbit 2.0 Ransomware

Lockbit 2.0 Ransomware-Beschreibung

Die LockBit Ransomware tauchte bereits im September 2019 in der Malware-Landschaft auf, als sie in einem RaaS-Schema (Ransomware-as-a-Service) angeboten wurde. Die Betreiber der Bedrohung suchten nach Partnern, die die eigentlichen Ransomware-Angriffe durchführen und dann die Gewinne teilen - die Partner würden etwa 70-80% der Gelder einsacken, während der Rest an die LockBit-Ersteller weitergegeben würde.

Die Operation ist seit ihrem Start recht aktiv geblieben, wobei die Vertreter der Gruppe, die hinter der Bedrohung steht, weiterhin in den Hacker-Foren präsent sind. Als mehrere prominente Foren beschlossen, sich von Ransomware-Schemata zu distanzieren und Diskussionen über solche Themen zu verbot, wechselte LockBit zu einer neu erstellten Datenleck-Site. Dort enthüllten die Cyberkriminellen die nächste Version ihrer bedrohlichen Kreation – LockBit 2.0, die auch als RaaS angeboten werden sollte. Die 2.0-Version verfügt über massiv erweiterte schädliche Fähigkeiten, wobei die Hacker mehrere Funktionen integriert haben, die zuvor in anderen Ransomware-Familien aufgetaucht sind. Darüber hinaus ist die Bedrohung mit einer noch nie dagewesenen Technik ausgestattet, die es ermöglicht, Gruppenrichtlinien zu missbrauchen, um Windows-Domänen automatisch zu verschlüsseln.

LockBit 2.0 zeigt neuartige Techniken

LockBit 2.0 ist immer noch Ransomware, und als solches ist es sein Ziel, so viele Geräte wie möglich zu infizieren, die mit dem verletzten Netzwerk verbunden sind, bevor die dort gespeicherten Daten verschlüsselt und ein Lösegeld verlangt werden. Anstatt sich jedoch auf Open-Source-Tools von Drittanbietern zu verlassen, was bei diesen Operationen die Standardpraxis ist, automatisierte LockBit 2.0 seine Verteilungs- und Anti-Sicherheitsmaßnahmen. Bei ihrer Ausführung erstellt die Bedrohung mehrere neue Gruppenrichtlinien auf dem Domänencontroller, die anschließend an alle mit dem kompromittierten Netzwerk verbundenen Computer gesendet werden. Durch diese Richtlinien kann die Malware die echte Schutzfunktion von Microsoft Defender sowie die Warnungen, Standardaktionen und die Beispiele deaktivieren, die normalerweise an Microsoft gesendet werden, wenn ein unerwünschter Eindringling erkannt wird. Es richtet auch eine geplante Aufgabe ein, um seine ausführbare Datei zu starten.

Im nächsten Schritt der Operation wird die ausführbare Datei von LockBit 2.0 auf den Desktop jedes erkannten Geräts kopiert. Die zuvor erstellte geplante Aufgabe leitet sie ein, indem sie eine UAC-Umgehung (User Account Control) implementiert. Diese Methode ermöglicht es LockBit 2.0, sich heimlich durch seine Programmierung zu bewegen, ohne Warnungen auszulösen, die die Aufmerksamkeit des Benutzers auf sich ziehen könnten.

Wenn der Verschlüsselungsprozess abgeschlossen ist, aktiviert LockBit 2.0 eine Funktion, die zuvor als Teil der Egregor Ransomware- Bedrohungen beobachtet wurde. Dabei werden alle mit dem Netzwerk verbundenen Drucker gezwungen, endlos die Lösegeldforderung der Bedrohung auszuspucken.