LockBit ist eine Ransomware, die nach dem RaaS-Modell (Ransomware-as-a-Service) arbeitet und für ihre hartnäckigen und erfolgreichen Angriffe auf Unternehmen in aller Welt bekannt ist. Seit Ende 2019 hat die Gruppe eine Reihe von Unternehmen ins Visier genommen und dabei mehrere Erpressungsstrategien und Technologien eingesetzt, um den Erfolg ihrer Operationen zu steigern. Inzwischen zählt sie zu den am meistverbreiteten Malware-Varianten mit schätzungsweise über 100 Millionen Dollar Erpressungssumme.
Die Ransomware hat sich seit ihrer ersten Entdeckung im September 2019 als ABCD-Ransomware erheblich weiterentwickelt und verändert. Beispiele dafür sind LockBit 2.0 bzw. LockBit Red debütierte im Juni 2021 und bot mit StealBit, ein integriertes Tool zum Stehlen von Informationen. LockBit Linux-ESXi Locker Version 1.0 wurde im Oktober 2021 veröffentlicht und erweiterte seine Fähigkeiten, indem es das Angreifen von Linux- und VMware ESXi-Systemen ermöglichte.
Eine weitere Weiterentwicklung fand mit LockBit 3.0, auch bekannt als LockBit Black im März 2022 statt und weist Ähnlichkeiten mit der BlackMatter- und Alphv-Ransomware auf. Der durchgesickerte LockBit 3.0-Konstruktor erlaubte im September 2022 auch Nicht-LockBit-Partnern den Zugriff. Im Januar 2023 tauchte in der Szene die Ransomware LockBit Green auf, die den Quellcode der Ransomware Conti enthielt. Darüber hinaus wurden im April 2023 LockBit-Ransomware-Verschlüsselungsprogramme entdeckt, die auf MacOS-Geräte abzielten, was auf eine wachsende Reichweite der Malware hindeutet.
Ransomware-as-a-Service als Initialzündung
Bis heute ist LockBit immer noch eine der aktivsten und profitabelsten Ransomware-Gruppen, die nicht nur Windows-Rechner, sondern auch Linux- und VMware ESXi-Systeme, macOS und virtuell gehostete Rechner angreift und allein durch Lösegeldzahlungen Hunderte von Millionen Dollar einnimmt. Das Ransomware-as-a-Service (RaaS)-Modell von LockBit erweitert seine Reichweite und Wirkung.
Es zieht nun Partner an, die die Ransomware einsetzen. Diese Partner werden durch Vorauszahlungen, Abonnementgebühren und eine Gewinnbeteiligung angelockt. Infolgedessen weisen LockBit-Ransomware-Angriffe ein breites Spektrum an beobachteten Taktiken, Techniken und Verfahren (TTPs) auf. Diese erheblichen Unterschiede bei den TTPs stellen eine große Herausforderung für Organisationen dar, die an der Aufrechterhaltung der Netzwerksicherheit und dem Schutz vor Ransomware-Bedrohungen arbeiten. Mehr Details der technischen Analyse finden sich hier.
Empfehlungen für erste IT-Security-Maßnahmen
Security-Analysten sollten die Indikatoren von LockBit als Grundlage für ihre Untersuchungen nach möglichen Kompromittierungen nutzen. Sie sollten Endpoint Detection (EDR)-Tools mit geeigneten restriktiven Richtlinien nutzen, um Datenverluste und MBR/VBR-Veränderungen zu vermeiden.
Darüber hinaus empfiehlt es sich die Authentifizierungsaktivitäten für die Fernzugriffsinfrastruktur mit besonderem Augenmerk auf Nutzerkonten anzuschauen, die mit einfacher Authentifizierung konfiguriert sind, um die Authentizität zu bestätigen und anomale Aktivitäten zu untersuchen. Zur aktiven Überwachung und Incident Reponse könnten Tools wie Logpoint SIEM und SOAR genutzt werden. Die Aktivierung der Multi-Faktor-Authentifizierung (MFA) entschärft potenziell gefährdete Anmeldeinformationen.
Außerdem sollten passwortlose Authentifizierungs-Tools für eine zusätzliche Sicherheitsebene genutzt werden. Alle Systeme gehören aktiv gepatcht und die Signaturen für alle Endgeräte, Sicherheitsprodukte und Software auf dem neuesten Stand gebracht.
Swachchhanda Shrawan Poudel ist Security Analytics Engineer bei Logpoint.
Weitere Tipps im Emerging Threats Report von Logpoint.