LockBit 3.0

Über verschiedene Optionen kann der Angreifer die laterale Bewegung im Unternehmensnetzwerk des Opfers beeinflussen oder einen Neustart im abgesicherten Modus veranlassen.

Der Code ist passwortgeschützt und verschlüsselt. Er kann deshalb ohne Passwort weder ausgeführt noch gelesen werden. Wie die ausführbare Datei verschlüsselt wird, hängt vom verwendeten Schlüssel ab. Dieser kann unterschiedlich sein. Aus diesem Grund kann ein Signaturscanner die Signatur in der ausführbaren Datei möglicherweise nicht erkennen.

Bemerkenswerterweise kann die Ausführung der Software von der eingestellten Sprache auf dem Opfersystem abhängen. LockBit 3.0 beendet möglicherweise die Ausführung und infiziert das System nicht, wenn eine bestimmte Sprache eingestellt ist. Dazu gehören folgende Sprachen:

• Rumänisch (Republik Moldau)
• Arabisch (Syrien)
• Tatarisch (Kyrillisch)

Angreifende Personen nutzen verschiedene Möglichkeiten, um auf ein Opfersystem zuzugreifen:

• RDP
• Drive-by
• Phishing
• Missbrauch gültiger Konten
• Schwachstellen öffentlich zugänglicher Internet-Auftritte

Die Software späht das Opfersystem aus, verbreitet sich und verwischt Spuren. Sensible Daten werden abgezogen. Wenn die Berechtigungen nicht ausreichen, versucht LockBit 3.0 diese zu erhöhen. Nach der Verschlüsselung von Dateien wird eine Ransomnote hinterlassen.

Diese Schadsoftware ermöglicht zahlreiche verschiedene Vorgehensweisen bei einem Angriff. Diese neue Version ist noch modularer aufgebaut und noch schwieriger zu erkennen als die Vorgängerversionen LockBit und LockBit 2.0.

Beachten Sie die Empfehlungen der US-amerikanischen Behörden. Nutzen Sie die bekannten Indikatoren (IoCs), um einen möglichen Angriff frühzeitig zu erkennen (siehe Link).