Wenn Sie sich über Cybersicherheitsbedrohungen auf dem Laufenden halten, wissen Sie wahrscheinlich, wie gefährlich populär Ransomware geworden ist. Diese Art von Malware stellt sowohl für Einzelpersonen als auch für Organisationen eine große Bedrohung dar, wobei bestimmte Stämme jetzt zur ersten Wahl für böswillige Akteure werden, einschließlich LockBit.
Also, was ist LockBit, woher kommt es und wie können Sie sich davor schützen?
Was ist LockBit-Ransomware?
Während LockBit als eine einzige Ransomware-Variante begann, hat sie sich seitdem mehrfach weiterentwickelt, wobei die neueste Version als „LockBit 3.0“ bekannt ist (auf die wir später noch eingehen werden). LockBit umfasst eine Familie von Ransomware-Programmen, die mit der Ransomware-as-a-Service (RaaS) Modell.
Ransomware-as-a-Service ist ein Geschäftsmodell, bei dem Benutzer für den Zugriff auf eine bestimmte Art von Ransomware bezahlen, damit sie diese für ihre eigenen Angriffe verwenden können. Dadurch werden die Benutzer zu Partnern, und ihre Zahlung kann eine Pauschalgebühr oder einen abonnementbasierten Dienst umfassen. Kurz gesagt, die Schöpfer von LockBit haben einen Weg gefunden, durch den Einsatz dieses RaaS-Modells weiter von seiner Nutzung zu profitieren, und können sogar einen Teil des von den Opfern gezahlten Lösegelds erhalten.
Über das RaaS-Modell kann auf eine Reihe anderer Ransomware-Programme zugegriffen werden, darunter DarkSide und REvil. Daneben ist LockBit einer der beliebtesten Ransomware-Typen, die heute verwendet werden.
Da es sich bei LockBit um eine Ransomware-Familie handelt, beinhaltet seine Verwendung die Verschlüsselung der Dateien eines Ziels. Cyberkriminelle infiltrieren das Gerät eines Opfers auf die eine oder andere Weise, vielleicht über eine Phishing-E-Mail oder böswillig Anhang und verwendet dann LockBit, um alle Dateien auf dem Gerät zu verschlüsseln, sodass sie für den Zugriff unzugänglich sind Benutzer.
Sobald die Dateien des Opfers verschlüsselt sind, verlangt der Angreifer ein Lösegeld als Gegenleistung für den Entschlüsselungsschlüssel. Wenn das Opfer dem nicht nachkommt und das Lösegeld zahlt, ist es wahrscheinlich, dass der Angreifer die Daten anschließend im Darknet gewinnbringend verkauft. Je nachdem, um welche Daten es sich handelt, kann dies zu irreversiblen Schäden an der Privatsphäre einer Person oder Organisation führen, was den Druck zur Zahlung des Lösegelds erhöhen kann.
Aber woher kam diese hochgefährliche Ransomware?
Die Ursprünge der LockBit-Ransomware
Es ist nicht genau bekannt, wann LockBit entwickelt wurde, aber seine anerkannte Geschichte reicht bis ins Jahr 2019 zurück, als es zum ersten Mal gefunden wurde. Diese Entdeckung kam nach der ersten Angriffswelle von LockBit, als die Ransomware ursprünglich als „ABCD“ bezeichnet wurde, in Anlehnung an den Erweiterungsnamen der verschlüsselten Dateien, die während der Angriffe ausgenutzt wurden. Als die Angreifer jedoch begannen, stattdessen die Dateierweiterung „.lockbit“ zu verwenden, änderte sich der Name der Ransomware in den heutigen Namen.
Die Popularität von LockBit stieg nach der Entwicklung seiner zweiten Iteration, LockBit 2.0, stark an. Ende 2021 kam verstärkt LockBit 2.0 zum Einsatz von verbundenen Unternehmen für Angriffe, und nach der Schließung anderer Ransomware-Gangs konnte LockBit die Lücke in der ausnutzen Markt.
Tatsächlich festigte die zunehmende Verwendung von LockBit 2.0 seine Position als „das wirkungsvollste und am weitesten verbreitete Ransomware-Variante, die wir bei allen Ransomware-Verstößen im ersten Quartal 2022 beobachtet haben“, so a Palo-Alto-Bericht. Darüber hinaus erklärte Palo Alto im selben Bericht, dass die Betreiber von LockBit behaupten, die schnellste Verschlüsselungssoftware aller derzeit aktiven Ransomware zu haben.
Die LockBit-Ransomware wurde in mehreren Ländern auf der ganzen Welt entdeckt, darunter China, die USA, Frankreich, die Ukraine, das Vereinigte Königreich und Indien. Auch eine Reihe großer Organisationen wurde mit LockBit angegriffen, darunter Accenture, ein irisch-amerikanisches Dienstleistungsunternehmen.
Accenture erlitt infolge der Verwendung von LockBit im Jahr 2021 einen Datenverstoß, bei dem die Angreifer ein gigantisches Lösegeld in Höhe von 50 Millionen US-Dollar forderten, wobei über 6 TB an Daten verschlüsselt wurden. Accenture war nicht bereit, dieses Lösegeld zu zahlen, obwohl das Unternehmen behauptete, dass keine Kunden von dem Angriff betroffen seien.
LockBit 3.0 und seine Risiken
Da die Popularität von LockBit zunimmt, ist jede neue Iteration ein ernstes Problem. Die neueste Version von LockBit, bekannt als LockBit 3.0, ist bereits zu einem Problem geworden, insbesondere innerhalb von Windows-Betriebssystemen.
Im Sommer 2022 war LockBit 3.0 verwendet, um schädliche Cobalt Strike-Nutzlasten zu laden auf Zielgeräten durch die Ausnutzung von Windows Defender. Bei dieser Angriffswelle wurde eine ausführbare Befehlszeilendatei namens MpCmdRun.exe missbraucht, damit die Beacons von Cobalt Strike die Sicherheitserkennung umgehen können.
LockBit 3.0 wurde auch bei der Nutzung einer VMWare-Befehlszeile namens VMwareXferlogs.exe verwendet, um erneut Cobalt Strike-Payloads bereitzustellen. Es ist nicht bekannt, ob diese Angriffe fortgesetzt werden oder sich zu etwas ganz anderem entwickeln.
Es ist offensichtlich, dass die LockBit-Ransomware ein hohes Risiko darstellt, wie dies bei vielen Ransomware-Programmen der Fall ist. Also, wie können Sie sich schützen?
So schützen Sie sich vor LockBit-Ransomware
Da die LockBit-Ransomware zuerst auf Ihrem Gerät vorhanden sein muss, um Dateien zu verschlüsseln, müssen Sie versuchen, sie an der Quelle abzuschneiden und eine Infektion insgesamt zu verhindern. Obwohl es schwierig ist, Ihren Schutz vor Ransomware zu gewährleisten, können Sie eine Menge tun, um sich so weit wie möglich davon fernzuhalten.
Erstens ist es wichtig, dass Sie niemals Dateien oder Softwareprogramme von Websites herunterladen, die nicht völlig legitim sind. Das Herunterladen einer beliebigen Art von nicht verifizierter Datei auf Ihr Gerät kann einem Ransomware-Angreifer einfachen Zugriff auf Ihre Dateien ermöglichen. Stellen Sie sicher, dass Sie nur vertrauenswürdige und gut überprüfte Websites für Ihre Downloads oder offizielle App-Stores für die Softwareinstallation verwenden.
Ein weiterer zu beachtender Faktor ist, dass LockBit-Ransomware häufig vorkommt Verbreitung über Remote Desktop Protocol (RDP). Wenn Sie diese Technologie nicht verwenden, müssen Sie sich um diesen Hinweis keine Gedanken machen. Wenn Sie dies tun, ist es jedoch wichtig, dass Sie Ihr RDP-Netzwerk mit Passwortschutz, VPNs und Deaktivierung des Protokolls sichern, wenn es nicht direkt verwendet wird. Ransomware-Betreiber scannen das Internet häufig nach anfälligen RDP-Verbindungen, sodass das Hinzufügen zusätzlicher Schutzebenen Ihr RDP-Netzwerk weniger anfällig für Angriffe macht.
Ransomware kann auch über Phishing verbreitet werden, eine unglaublich beliebte Art der Infektion und des Datendiebstahls, die von böswilligen Akteuren verwendet wird. Phishing wird am häufigsten über E-Mails eingesetzt, wobei der Angreifer einen böswilligen Link an den E-Mail-Text anhängt und das Opfer dazu verleitet, darauf zu klicken. Dieser Link führt zu einer schädlichen Website, die eine Malware-Infektion erleichtern kann.
Phishing kann auf verschiedene Weise vermieden werden, einschließlich der Verwendung von Anti-Spam-E-Mail-Funktionen, Link-Checking-Websites, und Antivirensoftware. Sie sollten auch die Absenderadresse jeder neuen E-Mail überprüfen und in E-Mails nach Tippfehlern suchen (da betrügerische E-Mails oft mit Rechtschreib- und Grammatikfehlern übersät sind).
LockBit ist weiterhin eine globale Bedrohung
LockBit entwickelt sich weiter und zielt auf immer mehr Opfer ab: Diese Ransomware wird in absehbarer Zeit nirgendwo hingehen. Um sich vor LockBit und Ransomware im Allgemeinen zu schützen, beachten Sie einige der oben genannten Tipps. Auch wenn Sie vielleicht denken, dass Sie nie zur Zielscheibe werden, ist es trotzdem immer ratsam, die notwendigen Vorsichtsmaßnahmen zu treffen.
