Laut Kaspersky testet die berüchtigte Bande Malware auf diversen Architekturen, darunter Apple M1. Dafür hat Lockbit Code von anderen Banden übernommen – ein Trend unter Kriminellen.
Lockbit ist eine der aktivsten Ransomware-Banden weltweit: Im ersten Quartal 2023 haben die Kriminellen nicht weniger als 272 Opfer auf ihren Leakportalen zur Schau gestellt. Hierzulande wurden bereits Arztpraxen, ein Altersheim und ein Klosterdorf von Lockbit gehackt. Erst vor wenigen Tagen forderte die Bande das jüngste Opfer in der Schweiz: ein grosses Backunternehmen wird auf der Darkwebsite präsentiert, von diesem sollen am 7. Juli gestohlene Daten publiziert werden.
Nun haben Forscher von Kaspersky Indizien für eine bevorstehende Grosskampagne der Bande entdeckt: Sie teste ihre Malware derzeit auf verschiedenen Plattformen, schreibt das IT-Sicherheitsunternehmen. Die Forscher haben Lockbit-Samples gefunden, die auf mehrere Architekturen zugeschnitten sind, darunter ARM v6, ARM v7, FreeBSD und Apple M1. Bereits im Frühling war Lockbit-Software entdeckt worden, die speziell für MacOS konzipiert war.
Auszug aus einem Chat zwischen Lockbit und einem Opfer.
Kaspersky hat zudem beobachtet, dass die Bande verschiedenen Code zusammenträgt. Sie soll von den Banden Blackmatter, Darkside und Conti Codeteile übernommen haben. Dieser kann entweder durchgesickert sein oder er wurde erworben. Das stellt laut Kaspersky ein Trend im Ransomware-Kosmos dar. So hatte Lockbit nach dem Ende von Conti rund 25% des Codes der Bande übernommen und so eine neue Version der eigenen Malware erzeugt.
"Rorschach" stammt mutmasslich von Partnergruppe
Erst kürzlich wurde eine neue "Super-Ransomware" entdeckt, der Security-Forscher den Namen Rorschach gaben. Sie hatten wie im "Rorschach-Test" jeweils verschiedenes in der Malware gesehen und beschrieben sie schliesslich als eine Mischung der effektivsten Ransomware-Elemente, die jemals eingesetzt wurden. Entscheidend: Verbreitung im Netzwerk und Verschlüsselung sollen extrem schnell sein. Primär basiere die Software auf Lockbit, schreibt der IT-Sicherheitskonzern Trend Micro, es würden aber vermutlich auch andere Akteure hinter der potenten Software stehen.
Es könnte sich aber laut Trend Micro um eine Partnergruppe von Lockbit handeln. Lockbit macht mit ihren Codeübernahmen nicht nur die Software potenter, sondern erleichtert Partnern auch die Arbeit. Diese Einschätzung stützen Leaks aus den Chatverläufen der Bande: Sie soll ihre Software besonders userfreundlich gestalten, so dass sich das Angriffsportal mit wenig technischer Kenntniss nutzen lässt. Die Folge: Lockbit wurde von Interessenten überrannt, bis heute zählt die Bande die meisten Opfer als Einzelgruppe, wie Erhebungen von Kaspersky zu entnehmen ist.