LockBit 5.0 duikt op: waarom deze ransomware gevaarlijker is dan ooit
De LockBit-groepering kreeg het afgelopen jaar de nodige klappen te verduren. Zo werd de website van de hackersbende gekaapt door Europol, de NCA en de FBI, en wist de Franse politie de vermoedelijke oprichter van de groep te arresteren. Dit voorjaar werd bovendien de infrastructuur van LockBit geraakt door onbekende hackers die daarbij een duidelijke boodschap achterlieten: “Don’t do crime. CRIME IS BAD xoxo from Prague.”
Nog geen half jaar later lijkt LockBit echter weer volledig operationeel. De Ransomware-as-a-Service-bende (RaaS), die ransomware als dienst aanbiedt aan andere hackers, kondigde begin september versie 5.0 van hun ransomware aan. Lange tijd was onduidelijk of LockBit 5.0 daadwerkelijk werd ingezet, maar daarvoor zijn nu de eerste aanwijzingen gevonden, aldus Trend Micro.
Wat is er nieuw in LockBit 5.0?
Beveiligingsonderzoekers van Trend Micro troffen inmiddels meerdere varianten van LockBit 5.0 aan, onder andere voor Windows, Linux en ESXi (virtual machines). Volgens de onderzoekers gaat het om de ‘meest geavanceerde’ ransomware die de groepering tot nu toe heeft uitgebracht, al zijn de wijzigingen ten opzichte van versie 4.0 relatief klein. Zo voegde de groep DLL-reflection toe om schadelijke DLL-bestanden vanuit het geheugen te laden, en werden nieuwe technieken toegepast om analyse te bemoeilijken.
Het terugkrijgen van data na een aanval met LockBit 5.0 is ook lastiger geworden, meldt Trend Micro. De bende heeft namelijk een willekeurige 16-bit string toegevoegd om de vergrendelde gegevens beter te beschermen tegen bruteforce-aanvallen. Hierdoor zullen meer slachtoffers gedwongen zijn te betalen voor het ontgrendelen van hun bestanden.
Betalen blijft immers mogelijk bij LockBit: de RaaS-dienst biedt slachtoffers de optie losgeld over te maken. Het is zelfs mogelijk om met de klantenservice van LockBit te onderhandelen over een aangepast voorstel. Gratis van de ransomware afkomen is er echter niet bij, tenzij men bereid is alle gegevens te verliezen.
‘One dies, one rises’
Hoewel de verzwakking van LockBit door sommigen werd gezien als een overwinning, temperden andere beveiligingsonderzoekers dat optimisme. Jort Kollerie, strategic advisor bij Orange Cyberdefense, waarschuwde in mei voor “een nieuwe dynamiek in het cybercrimelandschap”. Als LockBit volledig zou verdwijnen, zou er altijd een nieuwe partij opstaan.
En dat is in het geval van ransomware vooral slecht nieuws. Van LockBit is inmiddels bekend hoe de groep te werk gaat, waardoor bedrijven zich er beter tegen kunnen wapenen. Nieuwe spelers zijn onbekender en daardoor lastiger te doorgronden, waardoor hun aanvallen makkelijker kunnen slagen en ernstige schade kunnen veroorzaken.
