LockBit für 48 Prozent aller Angriffe verantwortlich

LockBit bleibt auch im September an vorderster Front: Das Threat-Intelligence-Team von Malwarebytes konnte der Ransomware-Gruppe im September 109 Angriffe zuschreiben (im Vergleich zu 62 Angriffen im August 2022 und 61 Angriffen im Juli 2022). Damit war LockBit im September in fast sechsmal so viele Angriffe verwickelt wie die nächstplatzierte Ransomware, Black Basta mit 19 Angriffen, und in fast so viele Angriffe wie alle anderen Ransomware-Gruppen zusammen. Neben den 109 Angriffen von LockBit zählte Malwarebytes im September 117 weitere Angriffe. Auf LockBit gehen damit 48 Prozent der im September festgestellten Angriffe zurück.

Der Abstand zwischen LockBit und seinen Konkurrenten ist inzwischen so enorm, dass sich die Security-Experten die Frage stellen, ob sich die Cybersicherheits-Welt derzeit konsolidiert. Im Software-Bereich ist es bereits gelernte Praxis, dass ein einziger Anbieter den Markt dominiert. Es gibt also keinen Grund, warum dies in kriminellen Software-Märkten anders sein sollte. Ransomware-as-a-Service (RaaS) ist seit einigen Jahren praktisch „feature complete“. Innovationen finden daher eher in den Taktiken der Ransomware-Gruppe als in der Software selbst statt.

Bei der Verteilung der Ransomware-Angriffe nach Ländern sind die USA im September 2022 mit 82 Angriffen erneut mit Abstand das häufigste Ziel. Aus Europa waren zudem folgende Länder betroffen: Frankreich mit 18 Angriffen, Spanien mit 17 Angriffen, das Vereinigte Königreich mit 9 Angriffen und Deutschland mit 8 Angriffen.

LockBit 3.0: Builder im September geleakt

Im Juni 2022 veröffentliche die LockBit-Bande die Version 3.0 ihrer Ransomware – LockBit 3.0, die auf dem Quellcode der Ransomware BlackMatter basierte. Im September wurde nun der Builder für LockBit 3.0 von einem anscheinend verärgerten Entwickler geleakt.

Für Malwarebytes ein zweischneidiges Schwert: Zum einen war das Threat-Intel-Team froh, die Software in die Hände zu bekommen und alles über sie zu lernen, was möglich war. Auf der anderen Seite haben sie dabei auch festgestellt, dass es noch nie so einfach war, eigene Ransomware zu erstellen: Der gesamte Builder enthält letztlich nur vier Dateien – einen Encryption Key Generator, keygen.exe, die eigentliche builder.exe, eine veränderbare Konfigurationsdatei, config.json, sowie eine Batch-Datei zum Erstellen aller Dateien, build.bat. Der Builder bietet dabei ein hohes Maß an Anpassungsmöglichkeiten, beispielsweise bei Lösegeldforderungen. Sobald ein Anwender die Konfiguration festgelegt hat, kann er eine Batch-Datei starten, die automatisch alle Dateien erzeugt, die er zum Starten einer Ransomware-Kampagne benötigt.

Alles, was die Verbreitung von Ransomware noch einfacher macht, wird die IT-Sicherheitslage laut Malwarebytes weiter verschlechtern. Es ist möglich, dass neue kriminelle Banden, die bisher nicht mit LockBit verbunden waren, die Software in Zukunft nutzen werden. Darüber hinaus rechnet Malwarebytes damit, dass gefälschte Versionen des LockBit Builders auftauchen werden, die dann potenzielle Kriminelle infizieren anstatt Ransomware für sie zu erstellen.

BlackMatter-Quellcode eventuell in Händen von LockBit

Der BlackMatter-Quellcode, auf dem LockBit 3.0 basiert, könnte durch einen Entwickler, der von der ALPHV-Gruppe (auch bekannt als BlackCat) übergelaufen war, in die Hände von LockBit gelangt sein. Bei der ALPHV-Gruppe handelt es sich um eine gefährliche Ransomware-Gruppe, die den Großteil des Jahres 2022 im Schatten von LockBit verbracht hat. ALPHV ist ein Rebranding der BlackMatter-Gruppe, die wiederum ein Rebranding von DarkSide war – eine Ransomware-Gruppe, die nach dem Angriff auf Colonial Pipeline in den USA in 2021 unter großer Aufmerksamkeit der Strafverfolgungsbehörden verschwand.

Trotz des Anscheins von Professionalität können die besagten RaaS-Gruppen nicht lange widerstehen, sich zu profilieren und zu streiten. Die Diskussionen der Banden finden dabei oft in Ransomware-Foren statt. So zum Beispiel auch im September, als sich ALPHV und LockBit über die Umbenennung von BlackMatter und den Erwerb des Quellcodes durch LockBit ausgelassen haben.