LockBit 3.0 Ransomware-Erkennung: Überarbeitete Operation

[post-views]
Juli 06, 2022 · 3 min zu lesen
LockBit 3.0 Ransomware-Erkennung: Überarbeitete Operation

LockBit Gruppe kehrt zurück und führt einen neuen Strang ihrer Ransomware, LockBit 3.0, ein. Die Gegner nannten ihre neueste Veröffentlichung LockBit Black, verbessern sie mit neuen Erpressungstaktiken und führen eine Option ein, in Zcash zu zahlen, zusätzlich zu den bestehenden Bitcoin- und Monero-Krypto-Zahlungsoptionen.

Dieses Mal machen LockBit-Hacker Schlagzeilen, indem sie das erste Bug-Bounty-Programm starten, das jemals von einer Cybercrime-Bande durchgeführt wurde. In ihrem Aufruf an Hacker aller Art versprechen die Gegner eine monetäre Belohnung für die Einreichung eines Bugs oder einer Verbesserungsidee im Bereich von 1000 bis 1 Million Dollar. Der höchste Preis wird auch an jeden vergeben, der als Erster den Affiliate-Manager, bekannt als LockBitSupp, identifiziert.

LockBit 3.0 Malware erkennen

Um Organisationen besser bei der Sicherung ihrer Infrastruktur zu unterstützen, hat unser engagierter Threat Bounty-Entwickler Kaan Yeniyol kürzlich die dedizierte Sigma-Regel veröffentlicht, die eine schnelle Erkennung von LockBit 3.0-Malware ermöglicht. Sicherheitsteams können diese Regeln von SOC Primes Detection as Code Platform herunterladen:

Verdächtige Lockbit Black (3.0) Ransomware-Ausführung durch Erkennung zugehöriger Befehle (über cmdline)

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake und Open Distro.

Die Regel ist dem MITRE ATT&CK®-Framework v.10 zugeordnet und behandelt die Ausführungstaktik mit Command and Scripting Interpreter (T1059) als primäre Technik.

Möchten Sie Ihre eigenen Sigma- und YARA-Regeln entwickeln, um die Welt sicherer zu machen? Treten Sie unserem Entwicklerprogramm bei, um wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten!

Die vollständige Liste der Sigma-Regeln zur Erkennung jeder Ransomware-Version, die mit LockBit-Hackern in Verbindung steht, steht allen registrierten Nutzern der Detection as Code Platform zur Verfügung. Drücken Sie die Detect & Hunt Taste, um gründlich kuratierte und verifizierte Erkennungen zu erkunden. Nicht registrierte Benutzer können auf das speziell für LockBit-Ransomware erstellte Regelkit und relevante Kontextinformationen zugreifen, indem sie die Explore Threat Context Taste drücken.

Detect & Hunt Explore Threat Context

LockBit 3.0 Analyse

Die LockBit-Gruppe tauchte erstmals 2019 auf und trat im Juni 2021 mit LockBit 2.0 Ransomware-Strang wieder in Erscheinung. Die Operation wird als eine der stärksten in der Bedrohungslandschaft angesehen und zieht in der Zahl der Opfer an berüchtigten Gruppen wie Black Basta, Hive, und Conti vorbei..

Das LockBit-Team erweitert kontinuierlich seine Reichweite, indem es innovative Lösungen einführt und bewährte Formeln des Ransomware-Marktes übernimmt. Sicherheitsanalysten warnen, dass es derzeit schwer vorherzusagen ist, wie viele Änderungen in der LockBit 3.0-Operation noch unbekannt bleiben. Laut kürzlich veröffentlichten Forschungsdaten weist LockBit Black eine Codeähnlichkeit zu BlackMatter Ransomware auf, die in vielen hochkarätigen Angriffen im letzten Sommer verwendet wurde. Forscher spekulieren, dass dies darauf hindeuten könnte, dass ehemalige BlackMatter-Entwickler an der Erstellung des neuesten LockBit-Strangs beteiligt gewesen sein könnten.

Zu den zuletzt eingeführten Neuerungen wie der Zahlung in Zcash und einem Bug-Bounty-Programm verkauft LockBit nun die gestohlenen Daten der Opfer.

Um rechtzeitig nach Anzeichen einer Kompromittierung durch diese und andere aufkommende Bedrohungen zu jagen, nutzen Sie die Vorteile der kollaborativen Cyberverteidigung, indem Sie unserer globalen Cybersecurity-Community bei SOC Primes Detection as Code Plattform beitreten. Nutzen Sie präzise und rechtzeitige Erkennungen, die von erfahrenen Fachleuten geliefert werden, um die Abläufe und Sicherheitslage Ihres SOC-Teams zu stärken.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen 3 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen by Veronika Telychko Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein 4 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein by Veronika Telychko BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme 5 min zu lesen Neueste Bedrohungen BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme by Veronika Telychko
Alle Nachrichten