Diebstahl, Erpressung, Erpressung und Identitätsdiebstahl sind online weit verbreitet, wobei jeden Monat Tausende von Menschen Opfer verschiedener Betrügereien und Angriffe werden. Ein solcher Angriffsmodus verwendet eine Art Ransomware namens LockBit 3.0. Also, woher kommt diese Ransomware, wie wird sie verwendet und was können Sie tun, um sich zu schützen?
Woher kommt LockBit 3.0?
LockBit 3.0 (auch bekannt als LockBit Black) ist ein Ransomware-Stamm aus der LockBit-Ransomware-Familie. Hierbei handelt es sich um eine Gruppe von Ransomware-Programmen, die erstmals im September 2019 entdeckt wurden, nachdem die erste Angriffswelle stattgefunden hatte. Anfangs wurde LockBit als ".abcd-Virus" bezeichnet, aber zu diesem Zeitpunkt war dies noch nicht bekannt Die Ersteller und Benutzer von LockBit würden weiterhin neue Iterationen der ursprünglichen Ransomware erstellen Programm.
Die Familie der Ransomware-Programme von LockBit verbreitet sich selbst, aber nur bestimmte Opfer werden ins Visier genommen – hauptsächlich diejenigen, die in der Lage sind, ein hohes Lösegeld zu zahlen. Diejenigen, die die LockBit-Ransomware verwenden, erwerben häufig Remote Desktop Protocol (RDP)-Zugriff im Dark Web, damit sie aus der Ferne und einfacher auf die Geräte der Opfer zugreifen können.
Die Betreiber von LockBit haben seit der ersten Verwendung Organisationen auf der ganzen Welt ins Visier genommen, darunter Großbritannien, die USA, die Ukraine und Frankreich. Diese Familie von Schadprogrammen verwendet die Ransomware-as-a-Service (RaaS) Modell, bei dem Benutzer die Betreiber bezahlen können, um Zugriff auf eine bestimmte Art von Ransomware zu erhalten. Dies beinhaltet oft eine Art Abonnement. Manchmal können Benutzer sogar Statistiken überprüfen, um festzustellen, ob ihre Verwendung von LockBit-Ransomware erfolgreich war.
Erst 2021 wurde LockBit durch LockBit 2.0 (dem Vorgänger der aktuellen Sorte) zu einer weit verbreiteten Art von Ransomware. An diesem Punkt entschieden sich die Banden, die diese Ransomware benutzten, dazu übernehmen das Modell der doppelten Erpressung. Dies beinhaltet sowohl das Verschlüsseln als auch das Exfiltrieren (oder Übertragen) der Dateien eines Opfers auf ein anderes Gerät. Diese zusätzliche Angriffsmethode macht die gesamte Situation für die betroffene Person oder Organisation noch beängstigender.
Die neueste Art von LockBit-Ransomware wurde als LockBit 3.0 identifiziert. Wie funktioniert also LockBit 3.0 und wie wird es heute verwendet?
Was ist LockBit 3.0?
Im späten Frühjahr 2022 wurde eine neue Iteration der LockBit-Ransomware-Gruppe entdeckt: LockBit 3.0. Als Ransomware-Programm kann LockBit 3.0 verschlüsseln und exfiltrieren Sie alle Dateien auf einem infizierten Gerät, sodass der Angreifer die Daten des Opfers scheinbar als Geisel halten kann, bis das angeforderte Lösegeld eintrifft bezahlt. Diese Ransomware ist jetzt in freier Wildbahn aktiv und sorgt für große Besorgnis.
Der Ablauf eines typischen LockBit 3.0-Angriffs ist:
- LockBit 3.0 infiziert das Gerät eines Opfers, verschlüsselt Dateien und hängt die Erweiterung verschlüsselter Dateien als „HLjkNskOq“ an.
- Ein als "-pass" bekannter Befehlszeilen-Argumentschlüssel ist dann erforderlich, um die Verschlüsselung durchzuführen.
- LockBit 3.0 erstellt verschiedene Threads, um mehrere Aufgaben gleichzeitig auszuführen, sodass die Datenverschlüsselung in kürzerer Zeit abgeschlossen werden kann.
- LockBit 3.0 löscht bestimmte Dienste oder Funktionen, um den Verschlüsselungs- und Exfiltrationsprozess erheblich zu vereinfachen.
- Eine API wird verwendet, um den Zugriff auf die Datenbank des Dienststeuerungsmanagers zu beherbergen.
- Der Desktop-Hintergrund des Opfers wird geändert, damit es weiß, dass es angegriffen wird.
Wenn das Opfer das Lösegeld nicht innerhalb des erforderlichen Zeitfensters bezahlt, verkaufen LockBit 3.0-Angreifer die im Darknet gestohlenen Daten an andere Cyberkriminelle. Dies kann sowohl für ein einzelnes Opfer als auch für eine Organisation katastrophal sein.
Zum Zeitpunkt des Schreibens ist LockBit 3.0 am bemerkenswertesten Nutzung von Windows Defender zur Bereitstellung von Cobalt Strike, ein Penetrationstest-Tool, das Payloads löschen kann. Diese Software kann auch eine Kette von Malware-Infektionen über mehrere Geräte hinweg verursachen.
Dabei wird das Kommandozeilentool MpCmdRun.exe ausgenutzt, damit der Angreifer die Beacons entschlüsseln und starten kann. Dies geschieht, indem das System dazu gebracht wird, eine bösartige DLL (Dynamic-Link Library) zu priorisieren und zu laden.
Die ausführbare Datei MpCmdRun.exe wird von Windows Defender verwendet, um nach Malware zu suchen und so das Gerät vor schädlichen Dateien und Programmen zu schützen. Da Cobalt Strike die Sicherheitsmaßnahmen von Windows Defender umgehen kann, ist es für Ransomware-Angreifer sehr nützlich geworden.
Diese Technik wird auch als Sideloading bezeichnet und ermöglicht es böswilligen Parteien, Daten von infizierten Geräten zu beherbergen oder zu stehlen.
So vermeiden Sie LockBit 3.0 Ransomware
LockBit 3.0 ist ein zunehmendes Problem, insbesondere bei größeren Organisationen, die über Unmengen von Daten verfügen, die verschlüsselt und exfiltriert werden können. Es ist wichtig sicherzustellen, dass Sie sich von dieser gefährlichen Art von Angriff fernhalten.
Dazu sollten Sie zunächst sicherstellen, dass Sie für alle Ihre Konten superstarke Passwörter und Zwei-Faktor-Authentifizierung verwenden. Diese zusätzliche Sicherheitsebene kann es Cyberkriminellen erheblich erschweren, Sie mit Ransomware anzugreifen. In Betracht ziehen Ransomware-Angriffe des Remote Desktop Protocol, zum Beispiel. In einem solchen Szenario scannt der Angreifer das Internet nach anfälligen RDP-Verbindungen. Wenn Ihre Verbindung also passwortgeschützt ist und 2FA verwendet, ist es viel unwahrscheinlicher, dass Sie angegriffen werden.
Außerdem sollten Sie die Betriebssysteme und Antivirenprogramme Ihrer Geräte immer auf dem neuesten Stand halten. Software-Updates können zeitaufwändig und frustrierend sein, aber es gibt einen Grund, warum sie existieren. Solche Updates enthalten häufig Fehlerkorrekturen und zusätzliche Sicherheitsfunktionen, um Ihre Geräte und Daten zu schützen. Verpassen Sie also nicht die Gelegenheit, Ihre Geräte auf dem neuesten Stand zu halten.
Eine weitere wichtige Maßnahme, um Ransomware-Angriffe, aber deren Folgen nicht zu vermeiden, ist das Sichern von Dateien. Manchmal halten Ransomware-Angreifer wichtige Informationen zurück, die Sie aus verschiedenen Gründen benötigen, sodass ein Backup das Ausmaß des Schadens bis zu einem gewissen Grad mindert. Offline-Kopien, wie sie beispielsweise auf einem USB-Stick gespeichert sind, können von unschätzbarem Wert sein, wenn Daten von Ihrem Gerät gestohlen oder gelöscht werden.
Maßnahmen nach der Infektion
Obwohl die oben genannten Vorschläge Sie vor LockBit-Ransomware schützen können, besteht immer noch die Möglichkeit einer Infektion. Wenn Sie also feststellen, dass Ihr Computer mit LockBit 3.0 infiziert wurde, ist es wichtig, nicht irrational zu handeln. Es gibt Schritte, die Sie unternehmen können Ransomware von Ihrem Gerät entfernen, die Sie genau und sorgfältig befolgen sollten.
Sie sollten die Behörden auch benachrichtigen, wenn Sie Opfer eines Ransomware-Angriffs geworden sind. Dies hilft den relevanten Parteien, einen bestimmten Ransomware-Stamm besser zu verstehen und zu bekämpfen.
LockBit 3.0-Angriffe können fortgesetzt werden
Niemand weiß, wie oft LockBit 3.0 Ransomware noch verwendet wird, um Opfer zu bedrohen und auszunutzen. Aus diesem Grund ist es wichtig, Ihre Geräte und Konten auf jede erdenkliche Weise zu schützen, damit Ihre sensiblen Daten sicher bleiben.