LockBit Wiedergeboren: Die Evolution der Gruppe nach dem Ausfall

Zusammenfassung

LockBit ist ein langjähriger Ransomware-as-a-Service (RaaS) Betrieb, der seit 2019 aktiv ist und auf doppelte Erpressungstaktiken setzt. Nach einer groß angelegten Durchgreifen der Strafverfolgungsbehörden im Februar 2024 tauchte die Gruppe mit neuen Varianten auf, darunter LockBit-NG-Dev und LockBit 5.0. Diese neuesten Varianten bieten plattformübergreifende Unterstützung, stärkere Abwehrmechanismen gegen Analysen und destruktiveres Verhalten nach der Verschlüsselung. Die Operation zielt weiterhin auf hochkarätige Organisationen in verschiedenen Sektoren weltweit ab.

Untersuchung

Der Bericht verfolgt LockBits Entwicklung von Version 3.0 (LockBit Black) über den experimentellen LockBit-NG-Dev Build bis hin zur aktuellen 5.0 Iteration. Es enthält technische Details wie benutzerdefinierte kryptographische Routinen, DLL-Reflexion, .NET CoreRT-Nutzung, MPRESS-Packung und eine starke Abhängigkeit von gehashten Dienstnamen zum Stoppen von Prozessen und Diensten. Dokumentierte Verhaltensänderungen umfassen „unsichtbare“ Ausführungsmodi, ETW-Manipulation und automatisches Protokoll-Löschen. Die Analyse behandelt auch Infrastrukturunterbrechungen, die im Rahmen der Operation Cronos durchgeführt wurden.

Minderung

Verteidiger sollten offline, unveränderliche Backups aufrechterhalten und regelmäßig ihre Wiederherstellungsverfahren überprüfen. Endpoint Detection bereitstellen, die typische Ransomware-Verhalten erkennt, einschließlich verdächtiger PowerShell-Aktivitäten, Nutzung von VSS-Verwaltungsbefehlen und abnormaler Mutex-Erstellung. Nutzung von privilegierten Konten begrenzen, Token-Duplikationstechniken einschränken und bekannte LockBit C2-Domains blockieren, während auf anomale TLS-Verkehrsmuster überwacht wird.

Antwort

Wenn LockBit-Aktivität erkannt wird, sofort das kompromittierte System isolieren, flüchtigen Speicher erfassen und alle relevanten Protokolldaten sammeln. Den C2-Host identifizieren und blockieren, den Ransomware-Prozess beenden und den Mutex-Wert für spätere forensische Arbeiten aufbewahren. Die Wiederherstellung aus vertrauenswürdigen Backups beginnen und an interne oder externe Incident-Response-Teams eskalieren. Kompromittierungsindikatoren mit relevanten Bedrohungs- und Informationsaustauschgemeinschaften teilen.

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

• Angriffserzählung & Befehle:
  Der Angreifer hat das Ransomware-Binär bereits auf dem Opferhost platziert. Um Spuren zu verwischen, ruft die Ransomware fsutil.exe auf, um ihre eigene Datei mit Null-Bytes zu überschreiben und dabei ihr ausführbares Programm effektiv von der Festplatte zu löschen. Dies wird durchgeführt, nachdem die Nutzlast ihre Verschlüsselungsphase abgeschlossen hat. Die Schritte sind:

  1. Den Pfad des laufenden Ransomware-Exekutivprogramms ermitteln ($MyPath).
  2. Aufrufen von fsutil.exe file setZeroData auf $MyPath mit dem 0 Flag, um die gesamte Datei auf Null zu setzen.
  3. Optional, die nun leere Datei löschen, um den Dateisystemeintrag zu entfernen.

  Diese Sequenz erzeugt ein Prozesserstellungsereignis, bei dem Image=*fsutil.exe* und CommandLine=*file setZeroData <path>*, das der Sigma-Regel entspricht.

• Regressionstestskript:

  # Simuliere LockBit-NG-Dev Selbstlöschung über fsutil
  # 1. Erstellen einer Dummy-„bösartigen“ Exekutivdatei (simuliert das Ransomware-Binär)
  $maliciousPath = "$env:TEMPmalicious.exe"
  Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force
  
  # 2. Überprüfen, dass die Datei existiert und ihre Größe (optional)
  Write-Host "Dummy-Ransomware erstellt unter $maliciousPath (Größe: $(Get-Item $maliciousPath).Length Bytes)"
  
  # 3. Datei mit Null-Bytes überschreiben mit fsutil
  Write-Host "Die Datei mit Nullen überschreiben mit fsutil..."
  fsutil.exe file setZeroData $maliciousPath 0
  
  # 4. Optional: die nun leere Datei löschen, um alle Spuren zu entfernen
  Write-Host "Die geleerte Datei löschen..."
  Remove-Item -Path $maliciousPath -Force
  
  Write-Host "Simulation komplett. Überprüfen der Erkennung in SIEM."

• Aufräumbefehle:

  # Sicherstellen, dass alle zurückgelassenen Artefakte entfernt werden
  $maliciousPath = "$env:TEMPmalicious.exe"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Zurückgelassene Datei entfernt $maliciousPath"
  } else {
      Write-Host "Keine zurückgelassenen Artefakte gefunden."
  }