Decken Sie Lücken in Ihrer Microsoft Identity Security auf.
Buchen Sie noch heute eine Analyse der Identitätslücke.
Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
cybercriminels
>
Ransomware Gruppe

Lockbit

LockBit, auch bekannt als LockBit Black oder Lockbit 3.0, ist eine der größten Ransomware Gruppen der Welt. Sie hat umfangreiche Cyberangriffe in verschiedenen Branchen durchgeführt und mit ihren unnachgiebigen und anpassungsfähigen Strategien Tausende von Unternehmen weltweit geschädigt.

Lockbit's TTPs erkennen
Ist Ihr Unternehmen vor Lockbit Ransomware Angriffen sicher?
Hintergrund
Ziele
TTPs
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing

Der Ursprung von Lockbit

Seit seiner Gründung im September 2019 ist LockBit in der Welt der Cyberkriminalität berüchtigt geworden und nutzt sein RaaS-Modell und "StealBit" malware , um Unternehmen und Infrastrukturen aggressiv anzugreifen.

Mit den Versionen LockBit Red bis 3.0 wurden mit jeder Iteration ausgefeilte Funktionen eingeführt, die für die Sicherheitsanalyse eine Herausforderung darstellten. Im Jahr 2023 erschien LockBit Green, das Funktionen des nicht mehr existierenden Conti ransomware vereinte und die Anpassungsfähigkeit in Kreisen der Cyberkriminalität veranschaulichte.

Die Operation Cronos im Februar 2024 unterbrach jedoch die Operationen von LockBit, untergrub ihre Glaubwürdigkeit und machte die internationalen Bemühungen zur Bekämpfung von ransomware deutlich. Obwohl die Strafverfolgungsbehörden die Kontrolle über die Lockbit-Sites erlangten, wurden weitere Angriffe gemeldet, was auf die Hartnäckigkeit der Gruppe hinweist.

Kartographie: OCD

Der Ursprung von Lockbit
Ziele

Lockbit's Ziele

Von Lockbit betroffene Länder

Trotz der von Lockbit beteuerten politischen Neutralität scheint eine beträchtliche Anzahl seiner Opfer aus NATO-Mitgliedstaaten und deren Verbündeten zu stammen.

Ungefähr 50 % der Angriffe mit dem LockBit 3.0-Stamm betrafen Unternehmen in den Vereinigten Staaten. Hacker, die Lockbit einsetzen, haben von US-Opfern Lösegeldzahlungen in Höhe von mehr als 91 Millionen US-Dollar erhalten.

Auch Brasilien und Indien sind stark im Visier.

Quelle: SOCRadar

Von Lockbit angesprochene Branchen

Das verarbeitende Gewerbe wird häufig von LockBit angegriffen, wobei jedoch kein einzelner Industriezweig herausgegriffen wird, was die wahllosen Angriffe der Gruppe unterstreicht.

Obwohl LockBit in der Regel kleine und mittelständische Unternehmen angreift, sind auch große Firmen wie der IT-Riese Accenture nicht davor gefeit, in die Hände von LockBit zu fallen.

Quelle: SOCRadar

Von Lockbit angesprochene Branchen

Das verarbeitende Gewerbe wird häufig von LockBit angegriffen, wobei jedoch kein einzelner Industriezweig herausgegriffen wird, was die wahllosen Angriffe der Gruppe unterstreicht.

Obwohl LockBit in der Regel kleine und mittelständische Unternehmen angreift, sind auch große Firmen wie der IT-Riese Accenture nicht davor gefeit, in die Hände von LockBit zu fallen.

Quelle: SOCRadar

Lockbit's Opfer

Bis heute sind mehr als 1661 Opfer den bösartigen Machenschaften von Lockbit zum Opfer gefallen.

Quelle: Ransomware.live

Angriffsmethode

Lockbits Angriffsmethode

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

LockBit 3.0-Teilnehmer greifen auf Netzwerke zu, indem sie:

  • Kompromittierung bestehender Kontoanmeldedaten
  • Nutzung von RDP-Verletzungen
  • Ausnutzung von Schwachstellen in öffentlich zugänglichen Systemen
  • Navigieren zu bösartigen Websites während des normalen Surfens
  • Durchführung von phishing Angriffen
Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

LockBit 3.0 versucht, höhere Zugriffsrechte zu erlangen, wenn die aktuellen Berechtigungen unzureichend sind, und verwendet automatische Anmeldefunktionen, um die Berechtigungen zu erhöhen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

LockBit 3.0 verbirgt seine Aktivitäten, indem es die Kommunikation mit den Kontrollservern verschlüsselt und sich nach der Ausführung selbst löscht; die Entschlüsselung erfolgt nur, wenn das richtige Kennwort eingegeben wird.

Um in einem Netzwerk eingebettet zu bleiben, manipuliert LockBit 3.0 kompromittierte Benutzerkonten und konfiguriert Systeme für die automatische Anmeldung.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

LockBit 3.0 verwendet ProDump von Microsoft Sysinternals, um den Prozessspeicherinhalt von LSASS.exe zu extrahieren.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

LockBit 3.0 scannt Netzwerke mit SoftPerfect Network Scanner, sammelt detaillierte System- und Domaindaten und vermeidet die Infektion von Systemen mit bestimmten Spracheinstellungen.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Für das Eindringen in interne Netzwerke nutzt LockBit 3.0 die Remote-Desktop-Software Splashtop.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

LockBit 3.0 richtet die Befehls- und Kontrollfunktionen mit FileZilla ein und automatisiert sichere Shell-Interaktionen über Plink auf Windows-Systemen. Während des Betriebs führt LockBit 3.0 Befehle aus und verwendet Chocolatey, einen Windows-Paketmanager, für die Softwareverwaltung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

LockBit 3.0 nutzt sein maßgeschneidertes Tool Stealbit und beliebte cloud -Dienste, um Daten aus Netzwerken abzuschöpfen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

LockBit 3.0 unterbricht den Betrieb, indem es Protokolle löscht, den Papierkorb leert, Daten verschlüsselt, Prozesse und Dienste anhält, Schattenkopien löscht und das Aussehen des infizierten Systems mit seinen eigenen Bildern verändert.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

LockBit 3.0-Teilnehmer greifen auf Netzwerke zu, indem sie:

  • Kompromittierung bestehender Kontoanmeldedaten
  • Nutzung von RDP-Verletzungen
  • Ausnutzung von Schwachstellen in öffentlich zugänglichen Systemen
  • Navigieren zu bösartigen Websites während des normalen Surfens
  • Durchführung von phishing Angriffen
Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

LockBit 3.0 versucht, höhere Zugriffsrechte zu erlangen, wenn die aktuellen Berechtigungen unzureichend sind, und verwendet automatische Anmeldefunktionen, um die Berechtigungen zu erhöhen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

LockBit 3.0 verbirgt seine Aktivitäten, indem es die Kommunikation mit den Kontrollservern verschlüsselt und sich nach der Ausführung selbst löscht; die Entschlüsselung erfolgt nur, wenn das richtige Kennwort eingegeben wird.

Um in einem Netzwerk eingebettet zu bleiben, manipuliert LockBit 3.0 kompromittierte Benutzerkonten und konfiguriert Systeme für die automatische Anmeldung.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

LockBit 3.0 verwendet ProDump von Microsoft Sysinternals, um den Prozessspeicherinhalt von LSASS.exe zu extrahieren.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

LockBit 3.0 scannt Netzwerke mit SoftPerfect Network Scanner, sammelt detaillierte System- und Domaindaten und vermeidet die Infektion von Systemen mit bestimmten Spracheinstellungen.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Für das Eindringen in interne Netzwerke nutzt LockBit 3.0 die Remote-Desktop-Software Splashtop.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

LockBit 3.0 richtet die Befehls- und Kontrollfunktionen mit FileZilla ein und automatisiert sichere Shell-Interaktionen über Plink auf Windows-Systemen. Während des Betriebs führt LockBit 3.0 Befehle aus und verwendet Chocolatey, einen Windows-Paketmanager, für die Softwareverwaltung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

LockBit 3.0 nutzt sein maßgeschneidertes Tool Stealbit und beliebte cloud -Dienste, um Daten aus Netzwerken abzuschöpfen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

LockBit 3.0 unterbricht den Betrieb, indem es Protokolle löscht, den Papierkorb leert, Daten verschlüsselt, Prozesse und Dienste anhält, Schattenkopien löscht und das Aussehen des infizierten Systems mit seinen eigenen Bildern verändert.

MITRE ATT&CK Kartierung

Von Lockbit verwendete TTPs

LockBit verwendet TTPs (Tactics, Techniques, and Procedures), die modularer und ausweichender sind als seine Vorgänger, was auf gemeinsame Merkmale mit den BlackMatter- und BlackCat-Familien ransomware zurückzuführen ist.

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1189
Drive-by Compromise
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0005: Defense Evasion
T1480
Execution Guardrails
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1614
System Location Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1072
Software Deployment Tools
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen

Wie man Lockbit erkennt mit Vectra AI

Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.

AWS Suspect Admin Privilege Granting

External Remote Access

M365 Ransomware

M365 Suspicious SharePoint Operation

Privilege Anomaly: Unusual Account on Host

Ransomware File Activity

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist LockBit ransomware?

LockBit ist ein Ransomware-as-a-Service (RaaS), der die Daten einer Organisation verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel fordert. Er ist bekannt für seine Heimlichkeit, Geschwindigkeit und die Verwendung eines doppelten Erpressungsschemas.

Wie verschafft sich LockBit den ersten Zugang zu Netzwerken?

LockBit verschafft sich den ersten Zugang oft auf verschiedene Weise, z. B. durch Ausnutzung von Remote-Desktop-Protokollen (RDP), phishing, Spear-phishing und durch die Verwendung von Anmeldeinformationen von zuvor angegriffenen Konten.

Wodurch unterscheidet sich LockBit 3.0 von seinen Vorgängerversionen?

LockBit 3.0 ist modularer und ausweichender, mit verbesserter Verschlüsselung und der Möglichkeit, die Nutzlast des Angriffs anzupassen. Es hat Funktionen von anderen ransomware wie BlackMatter und BlackCat übernommen.

War LockBit in irgendwelche bedeutenden Cybervorfälle verwickelt?

Ja, LockBit war für zahlreiche Angriffe auf Unternehmen in aller Welt verantwortlich, darunter auch aufsehenerregende Vorfälle bei großen multinationalen Unternehmen.

Auf welche Branchen zielt LockBit normalerweise ab?

LockBit ist nicht auf einen bestimmten Sektor ausgerichtet. Es ist bekannt, dass es auf eine breite Palette von Branchen abzielt, einschließlich Gesundheitswesen, Bildung und Fertigung.

Wie handhabt LockBit den Lösegeldprozess?

LockBit hinterlässt in der Regel eine Lösegeldforderung mit Zahlungsanweisungen auf dem angegriffenen System. Die Zahlung wird in der Regel in Kryptowährung gefordert, und die Verhandlungen werden manchmal im Dark Web geführt.

Welche Verteidigungsmaßnahmen können gegen LockBit wirksam sein?

Regelmäßige Updates und Patches für die Systeme, robuste Zugangskontrollen, häufige Schulungen zum Sicherheitsbewusstsein, fortschrittliche Tools zur Erkennung von Bedrohungen und Offline-Sicherungen sind wichtige Schutzmaßnahmen.

Gibt es Entschlüsselungstools für mit LockBit verschlüsselte Dateien?

Wenn Sie von LockBit betroffen sind, hat die National Crime Agency (NCA) 1.000 Entschlüsselungsschlüssel von der LockBit-Website erworben, die bei der Entschlüsselung der gestohlenen Daten helfen können.

Was ist die beste Vorgehensweise, wenn mein Netzwerk durch LockBit kompromittiert wurde?

Isolieren Sie die betroffenen Systeme, leiten Sie einen Notfallplan ein und wenden Sie sich an die Strafverfolgungsbehörden und Cybersicherheitsexperten. Vermeiden Sie die Zahlung des Lösegelds, da dies keine Garantie für die Wiederherstellung der Daten bietet und weitere kriminelle Aktivitäten finanzieren könnte.

Was ist über die Betreiber von LockBit bekannt?

Es wird vermutet, dass die Betreiber Teil einer ausgeklügelten cyberkriminellen Gruppe sind, die mit einem RaaS-Modell arbeitet und Partner rekrutiert, um die ransomware zu verbreiten, während sie im Verborgenen bleiben und die Anonymität wahren.

Ist Ihr Unternehmen vor Lockbit Ransomware Angriffen sicher?

Bewerten Sie Ihr Angriffsrisiko