In bestimmten F?llen k?nnen wir Einnahmen erzielen, wenn ein Leser einen Kauf t?tigt oder ein Formular auf unseren Seiten oder auf der Website eines Partners ausfüllt. Wir halten uns an eine strenge Werbepolitik und stellen sicher, dass kommerzielle M?glichkeiten niemals unsere redaktionelle Unabh?ngigkeit beeintr?chtigen oder beeinflussen. Die erzielten Einnahmen tragen zur Finanzierung der Mission von Techopedia bei, die Nr. 1 Quelle für Glücksspielwissen zu sein.
Cybersecurity-Experten haben einen ausgeklügelten neuen Ransomware-Stamm namens NotLockBit entdeckt.
Dieser kann sowohl in macOS- als auch in Windows-Systeme eindringen – etwas, das selbst sein Vorg?nger, der berüchtigte LockBit, nur schwer erreichen konnte.
Zuvor hatte das US-Justizministerium am 20. Dezember 2024 die Verhaftung eines russisch-israelischen Doppelbürgers bekannt gegeben, der für die Entwicklung der ursprünglichen LockBit-Ransomware verantwortlich sein soll.
Nun, da das LockBit-Imperium zerschlagen ist, scheint ein Machtvakuum in der Ransomware-Welt NotLockBit hervorgebracht zu haben, das sich als sein Vorg?nger ausgibt und im Verborgenen aktiv ist.
Techopedia erforscht das Geheimnis hinter der Taktik von NotLockBit, seine Konsequenzen für die Cybersicherheit und was sein Aufstieg für die Zukunft von Ransomware bedeutet.
Wichtigste Erkenntnisse
- NotLockBit ist ein neuer Ransomware-Stamm, der in macOS- und Windows-Systeme eindringen kann.
- Er gibt sich als das berüchtigte LockBit aus und verwendet dabei fortschrittliche Stealth-Taktiken.
- Nach der Verschlüsselung und Exfiltration von Daten l?scht sich die Ransomware von alleine, um nicht entdeckt zu werden.
- Cybersecurity-Experten untersuchen die Verbindung zur inzwischen aufgel?sten LockBit-Gruppe.
- NotLockBit zeigt, dass plattformübergreifende Ransomware immer raffinierter wird.
- Alles zeigen
Im Gegensatz zu herk?mmlichen Ransomware-Gruppen, die den Ruhm für sich beanspruchen, versteckt sich NotLockBit im Schatten und hinterl?sst mehr Fragen als Antworten.
Aufgrund seiner plattformübergreifenden Kompatibilit?t, seiner fortschrittlichen Verschlüsselungsmethoden und seiner F?higkeit, sich selbst zu l?schen, ist das Programm eine echte Bedrohung.
K?nnte dies das Werk eines v?llig neuen Akteurs sein oder setzt LockBit sein Erbe unter einem neuen Deckmantel fort?
LockBit, das alle Branchen mit Ransomware-Angriffen terrorisierte, war der führende Anbieter von Ransomware-as-a-Service (RaaS).
Vermutlich spielte das zurückgelassene Machtvakuum eine Rolle bei der Entwicklung von NotLockBit.
Die dahinterstehenden Entwickler, Distributoren sowie die Infrastruktur von NotLockBit sind unbekannt – ein seltener Fall in der Ransomware-Branche.
Im Gegensatz zu anderen Ransomware-Angriffen, bei denen Cyberkriminelle erfolgreich sind und sich einen Namen damit machen, dass sie den Ruhm für ihre Malware beanspruchen, spielt NotLockBit lieber im Schatten und gibt sich als LockBit aus.
In den Messages zur Ransomware gibt NotLockBit sich n?mlich als LockBit aus und imitiert die technischen Taktiken und Angriffsmethoden von LockBit.
NotLockBit: In und Out, Verschlüsselung-Extraktion und Selbstl?schung
Am 18. Dezember ver?ffentlichten die Bedrohungsforschungsexperten von Qualys die neueste Untersuchung der NotLockBit-Ransomware-Samples.
Ihre Analyse ergab, dass die Ransomware zun?chst wichtige Informationen über den angegriffenen Mac sammelt und dann den Verschlüsselungsschlüssel generiert, die Daten verschlüsselt und exfiltriert.
Der Angriff endet mit einem Bildschirm, auf dem die Black-Hat-Hacker in ihrer Nachricht zur Ransomware behaupten, sie seien LockBit.
Interessanterweise l?scht sich NotLockBit selbst und hinterl?sst keine digitalen Spuren.
Die Experten von Qualys beschreiben NotLockBit als ?hochgradig ausgeklügelt und gleichzeitig mit zwei Betriebssystemen (Mac und Windows) kompatibel, was es plattformübergreifend einsetzbar macht“.
Au?erdem wurde festgestellt, dass sich diese Bedrohung ?in der Ransomware-Landschaft weiterentwickelt“.
NotLockBit: von den Anf?ngen bis zur heutigen Verschlüsselung
NotLockBit wurde erstmals von Trend Micro am 16. Oktober 2024 gemeldet.
Zu diesem Zeitpunkt war die LockBit-Gruppe bereits von der Bildfl?che verschwunden, und neue Banden, wie RansomHub, waren stark aktiv.
Bislang wurden mehrere Malware-Samples von NotLockBit gefunden.
Offenbar perfektionieren die Entwickler die Malware durch verschiedene Iterationen und Versionen, wahrscheinlich auf der Suche nach einer verbesserten Tarnung und Umgehung, da diese Samples zum Zeitpunkt der Erstellung dieses Artikels von der H?lfte aller Sicherheitsanbieter, die in VirusTotal-Scans aufgeführt sind, erkannt werden (siehe Abbildung unten).
Wie alle modernen Ransomware-Programme ist auch NotLockBit in Go geschrieben – für schnelle Entwicklungszyklen, plattformübergreifende Kompatibilit?t und robuste Leistung.
Die vollst?ndige Analyse der Samples durch Qualys (entsprechende Hashes siehe unten) ist umfassend, klar und ein Muss für alle Ransomware-Cybersecurity-Experten.
Qualys NotLockBit analysierte Hashes:?
- e02b3309c0b6a774a4d940369633e395b4c374dc3e6aaa64410cc33b0dcd67ac
- 14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31
Vom Einbruch zum Verschlüsselungscode
Als erstes sammelt die NotLockBit-Ransomware in einer macOS-Umgebung wichtige Systeminformationen.
Dazu geh?ren Daten über die Hardware-, Software- und Netzwerkkonfiguration des Hosts.
Netzwerkkonfigurationsdaten k?nnen sp?ter für die Bewegung der Unternehmensinfrastruktur verwendet werden.
Diese Ransomware generiert und verschlüsselt dann den Master Key.
?Der Prozess beginnt mit der Generierung eines Zufallswertes, der als Grundlage für die Verschlüsselung dient“, hei?t es im Qualys-Bericht.
?Dieser Zufallswert wird dann mit den aus der PEM-Datei extrahierten RSA-Details (Exponent und Modulus) verschlüsselt. Der RSA-Verschlüsselungsalgorithmus verwendet diese Komponenten zur sicheren Verschlüsselung des Zufallswertes und sorgt dafür, dass nur der entsprechende private Schlüssel ihn entschlüsseln kann.“
Ist NotLockBit bei Amazon Web Services?
Zur Exfiltration von Daten (ein technisches Wort für Diebstahl) übertr?gt NotLockBit alle verschlüsselten Dateien an einen Speicherort, der unter der Kontrolle des Angreifers steht.
?Dieses Repository ist in der Regel als Amazon S3-Bucket oder eine andere Form eines Remote-Storage-Servers konfiguriert“, so Qualys.
Amazon wei?, dass NotLockBit die Amazon Web Services (AWS) ausnutzt.
Im Oktober 2024 nahm Trend Micro Kontakt zu Amazon auf und bat um eine Antwort auf die Untersuchung von NotLockBit.
Amazon teilte Trend Micro mit, dass ?Ransomware nicht spezifisch für eine bestimmte Computerumgebung ist“ und ?die festgestellten Aktivit?ten gegen die AWS-Richtlinie zur akzeptablen Nutzung versto?en“.
Darüber hinaus hat sich das Unternehmen nicht ge?u?ert.
Bei Ransomware bedeutet Datenexfiltration, dass die Angreifer auch dann noch eine Kopie der Daten haben, wenn das Opfer das L?segeld bezahlt hat.
Diese Daten k?nnen dann für doppelte oder dreifache Erpressungen verwendet, weitergegeben oder immer wieder im Dark Web verkauft werden.
Die Beh?rden raten Unternehmen, kein L?segeld an Cyberkriminelle zu zahlen, da dies keine Garantie für Sicherheit ist.
NotLockBit ist au?erdem so programmiert, dass es durch Filtern von Dateitypen gezielt nach pers?nlichen oder Firmendaten sucht.
Schlie?lich übernimmt NotLockBit den Bildschirm des Opfers mit einer Nachricht, die sich als LockBit ausgibt, wie in einigen unserer Beispielbilder zu sehen ist.
Als letzten Trick l?scht sich NotLockBit selbst, um seine digitalen Fu?spuren durch Unlink-Aktivit?ten zu verwischen.
Laut den Forschern von Qualys gibt es Hinweise darauf, dass diese neue Ransomware im Hinblick auf Umgehung und Tarnung verbessert wird.?
Qualys sagte:
?Bei den analysierten Beispielen wurden Unterschiede in den Bin?rdaten festgestellt: Einige Beispiele behielten sichtbare Funktionsnamen bei, w?hrend andere verschleierte Namen verwendeten und einige wenige vollst?ndig entfernt wurden.“
?Diese Variation verdeutlicht den unterschiedlichen Grad der Verschleierung und der Kompilierungstechniken in den diversen Beispielen. In einem der Beispiele wurde die Exfiltration vollst?ndig ausgelassen und nur die Verschlüsselungsfunktionalit?t beibehalten, was einen gezielten und eindeutigen Ansatz darstellt.“
Dark Web Chatter: Ist NotLockBit LockBit 4.0?
Wie bereits erw?hnt, stellt NotLockBit eine Besonderheit bei Ransomware-as-a-Service-Malware dar.
Es wird wenig bis gar nicht erw?hnt, und niemand scheint die Malware zu verbreiten – zumindest nicht in gro?em Umfang.
Nachahmungen von Lockbit-Ransomware-Malware wurden bereits aufgedeckt – und zwar in wachsendem Ma?e, seit Lockbit seine Ransomware-Krone im Dark Web verloren hat.
Doch selbst wenn Lockbit beseitigt wurde, ist seine Pr?senz im Dark Web noch lange nicht verschwunden.
Techopedia fand heraus, dass die aufstrebende RaaS-Gruppe RansomHub vor kurzem einen Beitrag von LockBit vom 19. Dezember 2024 erneut geteilt hat.
In dem Post wurde behauptet, LockBit biete ?etwas Neues“ an, das wahrscheinlich LockBit 4.0 sein k?nnte.
Angeblich handelt es sich bei LockBit 4.0 um die leistungsf?higste Version der inzwischen wohl aufgel?sten LockBit-Gruppe. Au?er Gerüchten und Spekulationen gibt es jedoch keine ?ffentlichen Beweise für ihre Existenz.
üblicherweise arbeiten Ransomware-Banden nicht mit Malware, die sich gegen macOS richtet.?
RansomHub scheint jedoch eine Vorgeschichte mit diesen Techniken zu haben. Cybersecurity-Experten glauben, dass RansomHub eine modifizierte Variante der Knight-Ransomware – auch bekannt als Cyclops – ist.
Cyclops Ransomware, jetzt unter dem Namen Knight, ist eine Multiplattform-Malware, die auf Windows-, macOS- und Linux-Betriebssysteme abzielt.
RansomHub, die derzeit wohl am weitesten verbreitete Ransomware-Bedrohung, hat seit Monaten die Aufmerksamkeit des FBI und der CISA auf sich gezogen.
Techopedia sprach mit Amir Sadon, Director of IR Research beim Sicherheitsunternehmen Sygnia, über die Auswirkungen des LockBit-Falls auf die Ransomware-Branche.
?Seit dem Verschwinden von LockBit Anfang des Jahres hat ihre Abwesenheit eine gro?e Lücke hinterlassen, wodurch neue Gruppen auftauchen und etablierte Akteure wie RansomHub ihre Dominanz in der Ransomware-Branche festigen konnten.“
?Es wird erwartet, dass LockBit 4.0 das Ransomware-?kosystem erheblich beeinflussen wird, insbesondere bei Ransomware-as-a-Service (RaaS)-Syndikaten“, so Sadon.
Fazit
Steht NotLockBit in Verbindung mit LockBit? Ist eine aufstrebende Gruppe wie RansomHub an der Entwicklung und Verbreitung von NotLockBit beteiligt?
Warum hat sich keine Bande für NotLockBit verantwortlich erkl?rt und warum wurden trotz zahlreicher gefundener Malware-Samples keine Angriffe identifiziert?
K?nnte es sich bei NotLockBit einfach um einen Nachahmungst?ter handeln?
All diese Fragen sind bis heute unbeantwortet geblieben. Dies macht NotLockBit zu einem gef?hrlichen Mysterium im Dark Web.
Mit NotLockbit wird ein Trend deutlich, der die Zukunft von Ransomware ankündigt: das Eindringen in Apple-Ger?te und macOS.
Sollte NotLockBit über RaaS-Modelle verbreitet werden, k?nnte diese Ransomware mehr Schaden anrichten als LockBit selbst.
Die Hinterm?nner dieser Malware haben ihre Tarnung zwar noch nicht perfektioniert, aber Ransomware, die verschiedene Betriebssysteme angreifen kann, ist schnell auf dem Vormarsch.
Quellenangaben
- Office of Public Affairs | United States Charges Dual Russian and Israeli National as Developer of LockBit Ransomware Group
- NotLockBit: A Deep Dive Into the New Ransomware Threat
- Fake LockBit Real Damage Ransomware Samples Abuse Amazon S3 to Steal Data | Trend Micro (US)
- Knight Ransomware Report
- #StopRansomware: RansomHub Ransomware
- Amir Sadon – Sygnia
- Sygnia Cybersecurity Services – Beat Attackers and Stay Secure
