Cybersecurity-Experten haben einen ausgeklügelten neuen Ransomware-Stamm namens NotLockBit entdeckt.
Dieser kann sowohl in macOS- als auch in Windows-Systeme eindringen – etwas, das selbst sein Vorgänger, der berüchtigte LockBit, nur schwer erreichen konnte.
Zuvor hatte das US-Justizministerium am 20. Dezember 2024 die Verhaftung eines russisch-israelischen Doppelbürgers bekannt gegeben, der für die Entwicklung der ursprünglichen LockBit-Ransomware verantwortlich sein soll.
Nun, da das LockBit-Imperium zerschlagen ist, scheint ein Machtvakuum in der Ransomware-Welt NotLockBit hervorgebracht zu haben, das sich als sein Vorgänger ausgibt und im Verborgenen aktiv ist.
Techopedia erforscht das Geheimnis hinter der Taktik von NotLockBit, seine Konsequenzen für die Cybersicherheit und was sein Aufstieg für die Zukunft von Ransomware bedeutet.
Wichtigste Erkenntnisse
- NotLockBit ist ein neuer Ransomware-Stamm, der in macOS- und Windows-Systeme eindringen kann.
- Er gibt sich als das berüchtigte LockBit aus und verwendet dabei fortschrittliche Stealth-Taktiken.
- Nach der Verschlüsselung und Exfiltration von Daten löscht sich die Ransomware von alleine, um nicht entdeckt zu werden.
- Cybersecurity-Experten untersuchen die Verbindung zur inzwischen aufgelösten LockBit-Gruppe.
- NotLockBit zeigt, dass plattformübergreifende Ransomware immer raffinierter wird.
- Alles zeigen
Im Gegensatz zu herkömmlichen Ransomware-Gruppen, die den Ruhm für sich beanspruchen, versteckt sich NotLockBit im Schatten und hinterlässt mehr Fragen als Antworten.
Aufgrund seiner plattformübergreifenden Kompatibilität, seiner fortschrittlichen Verschlüsselungsmethoden und seiner Fähigkeit, sich selbst zu löschen, ist das Programm eine echte Bedrohung.
Könnte dies das Werk eines völlig neuen Akteurs sein oder setzt LockBit sein Erbe unter einem neuen Deckmantel fort?
LockBit, das alle Branchen mit Ransomware-Angriffen terrorisierte, war der führende Anbieter von Ransomware-as-a-Service (RaaS).
Vermutlich spielte das zurückgelassene Machtvakuum eine Rolle bei der Entwicklung von NotLockBit.
Die dahinterstehenden Entwickler, Distributoren sowie die Infrastruktur von NotLockBit sind unbekannt – ein seltener Fall in der Ransomware-Branche.
Im Gegensatz zu anderen Ransomware-Angriffen, bei denen Cyberkriminelle erfolgreich sind und sich einen Namen damit machen, dass sie den Ruhm für ihre Malware beanspruchen, spielt NotLockBit lieber im Schatten und gibt sich als LockBit aus.
In den Messages zur Ransomware gibt NotLockBit sich nämlich als LockBit aus und imitiert die technischen Taktiken und Angriffsmethoden von LockBit.
NotLockBit: In und Out, Verschlüsselung-Extraktion und Selbstlöschung
Am 18. Dezember veröffentlichten die Bedrohungsforschungsexperten von Qualys die neueste Untersuchung der NotLockBit-Ransomware-Samples.
Ihre Analyse ergab, dass die Ransomware zunächst wichtige Informationen über den angegriffenen Mac sammelt und dann den Verschlüsselungsschlüssel generiert, die Daten verschlüsselt und exfiltriert.
Der Angriff endet mit einem Bildschirm, auf dem die Black-Hat-Hacker in ihrer Nachricht zur Ransomware behaupten, sie seien LockBit.
Interessanterweise löscht sich NotLockBit selbst und hinterlässt keine digitalen Spuren.
Die Experten von Qualys beschreiben NotLockBit als „hochgradig ausgeklügelt und gleichzeitig mit zwei Betriebssystemen (Mac und Windows) kompatibel, was es plattformübergreifend einsetzbar macht“.
Außerdem wurde festgestellt, dass sich diese Bedrohung „in der Ransomware-Landschaft weiterentwickelt“.
NotLockBit: von den Anfängen bis zur heutigen Verschlüsselung
NotLockBit wurde erstmals von Trend Micro am 16. Oktober 2024 gemeldet.
Zu diesem Zeitpunkt war die LockBit-Gruppe bereits von der Bildfläche verschwunden, und neue Banden, wie RansomHub, waren stark aktiv.
Bislang wurden mehrere Malware-Samples von NotLockBit gefunden.
Offenbar perfektionieren die Entwickler die Malware durch verschiedene Iterationen und Versionen, wahrscheinlich auf der Suche nach einer verbesserten Tarnung und Umgehung, da diese Samples zum Zeitpunkt der Erstellung dieses Artikels von der Hälfte aller Sicherheitsanbieter, die in VirusTotal-Scans aufgeführt sind, erkannt werden (siehe Abbildung unten).
Wie alle modernen Ransomware-Programme ist auch NotLockBit in Go geschrieben – für schnelle Entwicklungszyklen, plattformübergreifende Kompatibilität und robuste Leistung.
Die vollständige Analyse der Samples durch Qualys (entsprechende Hashes siehe unten) ist umfassend, klar und ein Muss für alle Ransomware-Cybersecurity-Experten.
Qualys NotLockBit analysierte Hashes:
- e02b3309c0b6a774a4d940369633e395b4c374dc3e6aaa64410cc33b0dcd67ac
- 14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31
Vom Einbruch zum Verschlüsselungscode
Als erstes sammelt die NotLockBit-Ransomware in einer macOS-Umgebung wichtige Systeminformationen.
Dazu gehören Daten über die Hardware-, Software- und Netzwerkkonfiguration des Hosts.
Netzwerkkonfigurationsdaten können später für die Bewegung der Unternehmensinfrastruktur verwendet werden.
Diese Ransomware generiert und verschlüsselt dann den Master Key.
„Der Prozess beginnt mit der Generierung eines Zufallswertes, der als Grundlage für die Verschlüsselung dient“, heißt es im Qualys-Bericht.
„Dieser Zufallswert wird dann mit den aus der PEM-Datei extrahierten RSA-Details (Exponent und Modulus) verschlüsselt. Der RSA-Verschlüsselungsalgorithmus verwendet diese Komponenten zur sicheren Verschlüsselung des Zufallswertes und sorgt dafür, dass nur der entsprechende private Schlüssel ihn entschlüsseln kann.“
Ist NotLockBit bei Amazon Web Services?
Zur Exfiltration von Daten (ein technisches Wort für Diebstahl) überträgt NotLockBit alle verschlüsselten Dateien an einen Speicherort, der unter der Kontrolle des Angreifers steht.
„Dieses Repository ist in der Regel als Amazon S3-Bucket oder eine andere Form eines Remote-Storage-Servers konfiguriert“, so Qualys.
Amazon weiß, dass NotLockBit die Amazon Web Services (AWS) ausnutzt.
Im Oktober 2024 nahm Trend Micro Kontakt zu Amazon auf und bat um eine Antwort auf die Untersuchung von NotLockBit.
Amazon teilte Trend Micro mit, dass „Ransomware nicht spezifisch für eine bestimmte Computerumgebung ist“ und „die festgestellten Aktivitäten gegen die AWS-Richtlinie zur akzeptablen Nutzung verstoßen“.
Darüber hinaus hat sich das Unternehmen nicht geäußert.
Bei Ransomware bedeutet Datenexfiltration, dass die Angreifer auch dann noch eine Kopie der Daten haben, wenn das Opfer das Lösegeld bezahlt hat.
Diese Daten können dann für doppelte oder dreifache Erpressungen verwendet, weitergegeben oder immer wieder im Dark Web verkauft werden.
Die Behörden raten Unternehmen, kein Lösegeld an Cyberkriminelle zu zahlen, da dies keine Garantie für Sicherheit ist.
NotLockBit ist außerdem so programmiert, dass es durch Filtern von Dateitypen gezielt nach persönlichen oder Firmendaten sucht.
Schließlich übernimmt NotLockBit den Bildschirm des Opfers mit einer Nachricht, die sich als LockBit ausgibt, wie in einigen unserer Beispielbilder zu sehen ist.
Als letzten Trick löscht sich NotLockBit selbst, um seine digitalen Fußspuren durch Unlink-Aktivitäten zu verwischen.
Laut den Forschern von Qualys gibt es Hinweise darauf, dass diese neue Ransomware im Hinblick auf Umgehung und Tarnung verbessert wird.
Qualys sagte:
„Bei den analysierten Beispielen wurden Unterschiede in den Binärdaten festgestellt: Einige Beispiele behielten sichtbare Funktionsnamen bei, während andere verschleierte Namen verwendeten und einige wenige vollständig entfernt wurden.“
„Diese Variation verdeutlicht den unterschiedlichen Grad der Verschleierung und der Kompilierungstechniken in den diversen Beispielen. In einem der Beispiele wurde die Exfiltration vollständig ausgelassen und nur die Verschlüsselungsfunktionalität beibehalten, was einen gezielten und eindeutigen Ansatz darstellt.“
Dark Web Chatter: Ist NotLockBit LockBit 4.0?
Wie bereits erwähnt, stellt NotLockBit eine Besonderheit bei Ransomware-as-a-Service-Malware dar.
Es wird wenig bis gar nicht erwähnt, und niemand scheint die Malware zu verbreiten – zumindest nicht in großem Umfang.
Nachahmungen von Lockbit-Ransomware-Malware wurden bereits aufgedeckt – und zwar in wachsendem Maße, seit Lockbit seine Ransomware-Krone im Dark Web verloren hat.
Doch selbst wenn Lockbit beseitigt wurde, ist seine Präsenz im Dark Web noch lange nicht verschwunden.
Techopedia fand heraus, dass die aufstrebende RaaS-Gruppe RansomHub vor kurzem einen Beitrag von LockBit vom 19. Dezember 2024 erneut geteilt hat.
In dem Post wurde behauptet, LockBit biete „etwas Neues“ an, das wahrscheinlich LockBit 4.0 sein könnte.
Angeblich handelt es sich bei LockBit 4.0 um die leistungsfähigste Version der inzwischen wohl aufgelösten LockBit-Gruppe. Außer Gerüchten und Spekulationen gibt es jedoch keine öffentlichen Beweise für ihre Existenz.
Üblicherweise arbeiten Ransomware-Banden nicht mit Malware, die sich gegen macOS richtet.
RansomHub scheint jedoch eine Vorgeschichte mit diesen Techniken zu haben. Cybersecurity-Experten glauben, dass RansomHub eine modifizierte Variante der Knight-Ransomware – auch bekannt als Cyclops – ist.
Cyclops Ransomware, jetzt unter dem Namen Knight, ist eine Multiplattform-Malware, die auf Windows-, macOS- und Linux-Betriebssysteme abzielt.
RansomHub, die derzeit wohl am weitesten verbreitete Ransomware-Bedrohung, hat seit Monaten die Aufmerksamkeit des FBI und der CISA auf sich gezogen.
Techopedia sprach mit Amir Sadon, Director of IR Research beim Sicherheitsunternehmen Sygnia, über die Auswirkungen des LockBit-Falls auf die Ransomware-Branche.
„Seit dem Verschwinden von LockBit Anfang des Jahres hat ihre Abwesenheit eine große Lücke hinterlassen, wodurch neue Gruppen auftauchen und etablierte Akteure wie RansomHub ihre Dominanz in der Ransomware-Branche festigen konnten.“
„Es wird erwartet, dass LockBit 4.0 das Ransomware-Ökosystem erheblich beeinflussen wird, insbesondere bei Ransomware-as-a-Service (RaaS)-Syndikaten“, so Sadon.
Fazit
Steht NotLockBit in Verbindung mit LockBit? Ist eine aufstrebende Gruppe wie RansomHub an der Entwicklung und Verbreitung von NotLockBit beteiligt?
Warum hat sich keine Bande für NotLockBit verantwortlich erklärt und warum wurden trotz zahlreicher gefundener Malware-Samples keine Angriffe identifiziert?
Könnte es sich bei NotLockBit einfach um einen Nachahmungstäter handeln?
All diese Fragen sind bis heute unbeantwortet geblieben. Dies macht NotLockBit zu einem gefährlichen Mysterium im Dark Web.
Mit NotLockbit wird ein Trend deutlich, der die Zukunft von Ransomware ankündigt: das Eindringen in Apple-Geräte und macOS.
Sollte NotLockBit über RaaS-Modelle verbreitet werden, könnte diese Ransomware mehr Schaden anrichten als LockBit selbst.
Die Hintermänner dieser Malware haben ihre Tarnung zwar noch nicht perfektioniert, aber Ransomware, die verschiedene Betriebssysteme angreifen kann, ist schnell auf dem Vormarsch.
Quellenangaben
- Office of Public Affairs | United States Charges Dual Russian and Israeli National as Developer of LockBit Ransomware Group
- NotLockBit: A Deep Dive Into the New Ransomware Threat
- Fake LockBit Real Damage Ransomware Samples Abuse Amazon S3 to Steal Data | Trend Micro (US)
- Knight Ransomware Report
- #StopRansomware: RansomHub Ransomware
- Amir Sadon – Sygnia
- Sygnia Cybersecurity Services – Beat Attackers and Stay Secure