Cybercriminelen zijn steeds professioneler geworden, compleet met Ransomware-as-a-Service-modellen en felbegeerde eigen software. Nu leidt dat ook tot problemen die wel erg lijken op die van legitieme organisaties: IP-diefstal. De broncode van het prominente LockBit 3.0 belandde een jaar geleden op straat, waarna andere groeperingen hun eigen varianten hebben ontwikkeld.
Een onderzoeksteam bij Kaspersky nam 396 recente cyberaanvallen onder de loep die zijn toegeschreven aan LockBit. Men ontdekte dat 77 (bijna 20 procent) van deze onderzochte incidenten geen enkele verwijzing naar LockBit kenden in de ‘ransom note’, dat erop wijst dat er een andere criminele organisatie achter zit.
LockBit 3.0: kenmerkende aspecten
We hebben al eerder uitgelicht hoe de criminele bende achter LockBit te werk gaat: net als andere ransomware is men afhankelijk van een gevoelige plek binnen een organisatie. Dit kan een exploitatie zijn van software-zwaktes, bijvoorbeeld door nalatigheid wat betreft het updaten hiervan. Daarnaast kan het simpelweg een medewerker zijn die een mail iets te veel vertrouwt en daarmee per ongeluk de ransomware downloadt.
Lees meer: LockBit 3.0, de marktleider in ransomware
Bij Kaspersky lichten de onderzoekers drie kenmerkende aspecten aan van de software. Allereerst ondersteunt het versleutelde executables die met willekeurig gegenereerde wachtwoorden beschermt zijn. Daarmee kunnen aanvallers kiezen wanneer de ransomware in werking treedt via een command line-prompt. Daarnaast heeft de payload sterke beveiligingen tegen reverse-engineering, waardoor onderzoek gehinderd wordt en criminele concurrenten niet zomaar ervandoor zouden moeten kunnen gaan met LockBit 3.0. Ook heeft het vele Windows-functies op kernel-niveau die niet door het besturingssysteem gebruikt worden.
Terug naar de basis
In september 2022 lekte een zogeheten builder-tool voor LockBit, waarmee wie dan ook een eigen variant van de ransomware konden creëren. Er bleken twee versies naar buiten gebracht te zijn, waarna er direct een ongewoon LockBit-incident door het Kaspersky Global Emergency Response Team (GERT) ontdekt werd. Hoewel het op allerlei manieren leek op LockBit 3.0, was de ransom note richting de slachtoffers anders dan voorheen.
Binnen de builder zitten geen soortgelijke defensiemechanismes tegen reverse-engineering, waardoor andere criminelen er met de broncode vandoor konden gaan. Andere bendes lijken ook anders om te gaan met de mogelijkheden van LockBit. De oorspronkelijke groep maakt gebruik van ‘double extortion’, dus het versleutelen en wegsluizen van data met de dreiging om deze informatie te lekken. Andere groeperingen houden het simpel: men versleutelt veelal enkel de gegevens en eist losgeld om ze weer vrij te stellen. Dit is in theorie een stuk minder zorgwekkend als er een inzetbare back-up bestaat binnen de getroffen organisatie.
Hoewel andere cybercriminelen dus hun slag kunnen slaan met LockBit, zijn er ook voordelen voor recherchediensten wereldwijd. Door het lekken van de broncode is duidelijker te zien hoe de hackers te werk gaan, waardoor er op den duur betere beschermingen tegen infiltratie te ontwikkelen zijn voor security-firma’s. LockBit heeft er dus concurrentie bij die voortborduurt op de zelf gecreëerde software, terwijl men steeds meer in het vizier staat van de autoriteiten.
Tip: LockBit legt haven stil: OT-aanvallen hebben reusachtige impact
2 dagen geleden
