LockBit geknackt – LockBit cracked

Maßgeblichen Anteil daran hatte der japanische Sicherheitsanbieter Trend Micro. Gemeinsam mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in Entwicklung befindliche und unveröffentlichte Version des LockBit-Encryptors (genannt Lockbit-NG-Dev) und machte damit die gesamte Produktlinie für Cyberkriminelle in Zukunft unbrauchbar.

Einzigartig an dieser Aktion ist, dass der Schutz gegen die zukünftige Malware bereits von Cybersicherheitsanbietern zur Verfügung gestellt wurde, bevor die kriminelle Gruppe die Tests überhaupt abschließen konnte. Die proaktive Zusammenarbeit mit der NCA stellte somit sicher, dass LockBit das Geschäftsmodell entzogen wurde und die Gruppe mit ihren eigenen Waffen geschlagen wurde – LockBit wurde selbst gehackt. Diese Diskreditierung der Gruppe durch die NCA und ihre Partner macht deutlich, dass kein vernünftiger Krimineller mehr mit ihr in Verbindung gebracht werden möchte.

Robert McArdle, Leiter des Forward Looking Threat Research Teams bei Trend Micro:

„Trend Micro hat die britische National Crime Agency (NCA) in ihrer führenden Rolle bei der Aufdeckung der LockBit-Operationen unterstützt. Unsere Analyse konzentriert sich auf eine neue, noch unveröffentlichte Version des LockBit Encryptors, an der die Gruppe arbeitete, sowie auf eine Zusammenfassung der jüngsten Probleme und Schwierigkeiten, auf die die Cyberkriminellen gestoßen sind. Obwohl LockBit zweifellos die größte und einflussreichste Ransomware-Operation der Welt war, macht dieser Takedown deutlich, dass alle kriminellen Partner jede zukünftige Zusammenarbeit mit dieser Gruppe überdenken sollten und dass sie sich durch die Zusammenarbeit mit der Gruppe einem erhöhten Strafverfolgungsrisiko aussetzen“.

Als kriminelle Gruppierung war LockBit dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war). Im Zuge dieser innovativen Entwicklung veröffentlichte LockBit mehrere Versionen seiner Ransomware, von Version v1 (Januar 2020) über LockBit 2.0 (Spitzname „Red“, ab Juni 2021) bis hin zu LockBit 3.0 („Black“, ab März 2022). Im Oktober 2021 führte der Bedrohungsakteur Linux ein. Schließlich tauchte im Januar 2023 eine Zwischenversion „Green“ auf, die Code enthielt, der offenbar von der nicht mehr existierenden Ransomware Conti übernommen worden war. Bei dieser Version handelte es sich jedoch nicht um eine neue Version 4.0.

Jüngste Herausforderungen und Rückgang

In jüngster Zeit hatte die Gruppe sowohl intern als auch extern mit Problemen zu kämpfen, die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten. Dazu gehörten gefälschte Nachrichten von Opfern und eine instabile Infrastruktur bei Ransomware-Operationen. Fehlende Download-Dateien in vermeintlichen Veröffentlichungen und neue Regeln für Partner belasteten die Beziehungen der Gruppe zusätzlich. Versuche, Partner von konkurrierenden Gruppen anzuwerben, sowie die lange überfällige Veröffentlichung einer neuen LockBit-Version deuten ebenfalls auf einen Attraktivitätsverlust der Gruppe hin.

LockBit 4.0 

Kürzlich konnten wir ein Sample analysieren, bei dem es sich nach unserer Einschätzung um eine in Entwicklung befindliche Version einer plattformunabhängigen Malware von LockBit handelt, die sich von früheren Versionen unterscheidet. Das Sample fügt verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration ist und daher noch geändert werden kann. Aufgrund des aktuellen Entwicklungsstandes haben wir diese Variante LockBit-NG-Dev genannt, die unserer Meinung nach die Grundlage für LockBit 4.0 bilden könnte, an der die Gruppe mit Sicherheit arbeitet.

Die grundlegenden Änderungen sind wie folgt:

– LockBit-NG-Dev ist in .NET geschrieben und wird mit CoreRT kompiliert. Dadurch ist der Code plattformunabhängig, wenn er zusammen mit der .NET-Umgebung verwendet wird.

– Die Codebasis ist durch den Wechsel zu dieser Sprache komplett neu, was bedeutet, dass wahrscheinlich neue Sicherheitsmuster erstellt werden müssen, um diese zu erkennen.

– Im Vergleich zu v2 (Red) und v3 (Black) hat es weniger Funktionen, aber diese werden wahrscheinlich im Laufe der weiteren Entwicklung hinzugefügt werden. Derzeit scheint es sich immer noch um eine funktionsfähige und mächtige Ransomware zu handeln.

– Die Fähigkeit, sich selbst zu verbreiten und Erpresserbriefe über den Drucker des Benutzers auszudrucken, wurde entfernt.

– Die Ausführung hat nun eine Gültigkeitsdauer, indem sie das aktuelle Datum überprüft, was wahrscheinlich den Betreibern helfen soll, die Kontrolle über die Nutzung durch Partner zu behalten und es für automatisierte Analysesysteme von Sicherheitsunternehmen schwieriger zu machen.

– Ähnlich wie v3 (Black) verfügt diese Version weiterhin über eine Konfiguration, die Flags für Routinen, eine Liste zu beendender Prozesse und Dienstnamen sowie zu vermeidender Dateien und Verzeichnisse enthält.

– Außerdem können die Dateinamen verschlüsselter Dateien weiterhin in zufällige Namen umbenannt werden.

Schlussfolgerung

Die kriminelle Gruppe hinter der LockBit-Ransomware war in der Vergangenheit sehr erfolgreich und gehörte während ihrer gesamten Tätigkeit zu den Ransomware-Gruppen mit den größten Auswirkungen. In den letzten Jahren scheint sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben. Diese zwangen LockBit dazu, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.

Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibt jedoch abzuwarten, wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates zu gewinnen und ihre Position zu halten. In der Zwischenzeit hoffen wir, dass LockBit die nächste große Gruppe sein wird, die die Vorstellung widerlegt, dass eine Organisation zu groß ist, um zu scheitern.

Japanese security vendor Trend Micro played a key role. Together with the UK’s National Crime Agency (NCA), Trend Micro analyzed an unreleased version of LockBit’s encryptor (called Lockbit-NG-Dev), which was still under development, and rendered the entire product line useless to cyber criminals in the future.

Uniquely, protection against the future malware was provided by cybersecurity vendors before the criminal group could even complete testing. By proactively working with the NCA, LockBit’s business model was taken away from them and they were beaten at their own game – LockBit was hacked. This discrediting of the group by the NCA and its partners makes it clear that no sane criminal would want to be associated with it.

Robert McArdle, director of Trend Micro’s Forward Looking Threat Research team:

„Trend Micro has supported the UK’s National Crime Agency (NCA) in its leading role in uncovering the LockBit operation. Our analysis focuses on a new, unreleased version of the LockBit encryptor that the group was working on, as well as a summary of recent issues and difficulties encountered by the cybercriminals. While LockBit was undoubtedly the largest and most influential ransomware operation in the world, this takedown makes it clear that all criminal partners should reconsider any future collaboration with this group, and that working with the group puts them at increased risk of prosecution.“

As a criminal group, LockBit was known for being innovative and trying new things (although this has been less the case lately). As part of this innovation, LockBit released several versions of its ransomware, from version v1 (January 2020) to LockBit 2.0 (nicknamed „Red,“ from June 2021) and LockBit 3.0 („Black,“ from March 2022). In October 2021, the threat actor introduced Linux. Finally, in January 2023, an intermediate version „Green“ appeared, containing code that appeared to have been taken from the defunct Conti ransomware. However, this version was not a new version 4.0.

Recent challenges and decline

Recently, the company faced both internal and external issues that threatened its position and reputation as a leading RaaS provider. These included fake messages from victims and unstable infrastructure during ransomware operations. Missing download files in purported releases and new partner rules further strained the group’s relationships. Attempts to recruit partners from competing groups and the long overdue release of a new LockBit version also indicate a loss of appeal for the group.

LockBit 4.0 

Recently, Trend Micro was able to analyze a sample that it believes to be a version of the LockBit platform-independent malware under development that differs from previous versions. The sample adds the suffix „locked_for_LockBit“ to encrypted files, which is part of the configuration and therefore can still be changed. Based on the current state of development, Trend Micro has named this variant LockBit-NG-Dev, which we believe could be the basis for LockBit 4.0, which the group is certainly working on.

The main changes are as follows:

– LockBit-NG-Dev is written in .NET and compiled with CoreRT. This makes the code platform independent when used with the .NET environment.

– The code base is completely new due to the switch to this language, which means that new security patterns will likely need to be created to recognize it.

– Compared to v2 (red) and v3 (black), it has fewer features, but these are likely to be added as development continues. For now, it still appears to be a functional and powerful ransomware.

– The ability to self-propagate and print ransom notes to the user’s printer has been removed.

– The execution now has a validity period by checking the current date, which is likely to help operators maintain control over exploitation by partners and make it more difficult for automated analysis systems from security companies.

– Similar to v3 (Black), this version still has a configuration that includes flags for routines, a list of processes and service names to terminate, and files and directories to avoid.

– In addition, the filenames of encrypted files can still be renamed to random names.

Bottom line

The criminal group behind the LockBit ransomware has been very successful in the past, and has been one of the most effective ransomware groups throughout its operation. However, in recent years it seems to have experienced a number of logistical, technical and reputational problems. These have forced LockBit to take action and work on a new, highly anticipated version of their malware.

However, given the apparent delay in releasing a robust version and the ongoing technical issues, it remains to be seen how much longer the group will be able to attract top affiliates and maintain its position. In the meantime, we hope that LockBit will be the next major group to disprove the notion that an organization is too big to fail.