Lockbit
LockBit, auch bekannt als LockBit Black oder Lockbit 3.0, ist eine der größten Ransomware Gruppen der Welt. Sie hat umfangreiche Cyberangriffe in verschiedenen Branchen durchgeführt und mit ihren unnachgiebigen und anpassungsfähigen Strategien Tausende von Unternehmen weltweit geschädigt.
Der Ursprung von Lockbit
Die Ursprünge von LockBit gehen auf September 2019 zurück, als die erste bekannte Aktivität der ransomware"ABCD" ransomwareals Vorgänger von LockBit angesehen wird - beobachtet wurde. Im Januar 2020 tauchte LockBit bereits unter seinem aktuellen Namen in russischsprachigen Cybercrime-Foren auf. Seitdem hat es sich schnell zu einer der bekanntesten ransomware in der cyberkriminellen Landschaft entwickelt, die ein Ransomware(RaaS)-Modell einsetzt, das eine spezielle Leak-Site (DLS) und ein Portal zur Aushandlung von Lösegeld umfasst. Die Partner melden sich an, um die ransomware von LockBit zu nutzen, verwalten neue Opfer über die DLS und können auch "StealBit" einsetzen, ein in späteren LockBit-Versionen enthaltenes Tool zum Stehlen von Informationen.
Ein wichtiger Meilenstein wurde im Juni 2021 mit dem Debüt von LockBit 2.0 (oft als LockBit Red bezeichnet) erreicht. Während die Popularität und der Einfluss von LockBit bereits wuchsen, vergrößerte diese Veröffentlichung die Sichtbarkeit der Gruppe dramatisch. Im Oktober 2021 erschien die Version 1.0 von LockBit Linux-ESXi Locker, mit der LockBit seine Angriffsmöglichkeiten auf Linux- und VMware ESXi-Systeme ausweitete. Die ransomware entwickelten ihr Produkt im März 2022 mit dem Auftauchen von LockBit 3.0, auch LockBit Blackgenannt ,weiter - eineneue Variante, die Ähnlichkeiten mit den ransomware BlackMatter und Alphv (BlackCat) aufweist. Obwohl das erste Auftauchen von LockBit im März 2022 gemeldet wurde, weisen viele auf den Juni 2022 als wichtiges Datum hin, an dem LockBit 3.0 weit verbreitet wurde. LockBit Red (das umbenannte LockBit 2.0) blieb der Standard-Builder für die meisten Affiliates, während LockBit Black für Affiliates reserviert war, die mehr als 2,5 Millionen US-Dollar Lösegeld gefordert hatten. Mit dieser Version wurden auch erweiterte Funktionen eingeführt, wie z. B. das Töten bestimmter Prozesse oder das Definieren von Datei- und Gerätezulassungslisten, und es wurde ein Bug-Bounty-Programm eingeführt, das Belohnungen von bis zu 10 Millionen US-Dollar bot.
Im September 2022 wurde ein Leck des LockBit 3.0-Builders ermöglichte es Nicht-LockBit-Partnern, LockBit-Nutzdaten zu generieren, was die Verbreitung der Ransomware beschleunigte. Die nächste Version der ransomware, LockBit Green, wurde im Januar 2023 veröffentlicht und enthielt Berichten zufolge den durchgesickerten Quellcode der Conti-Version 3. Im Gegensatz zu LockBit Black war für LockBit Green kein Nachweis über hohe Lösegeldforderungen erforderlich, so dass die Ransomware für ein breiteres Spektrum von Cyberkriminellen interessant war. Vier Monate später, im April 2023, tauchte eine neue LockBit macOS-Variante in malware auf, die weitgehend die Funktionalität der Linux/ESXi-Version von LockBit widerspiegelt und den anhaltenden Vorstoß der Gruppe unterstreicht, so viele Plattformen wie möglich zu infizieren.
Der Druck der Strafverfolgungsbehörden auf LockBit verschärfte sich im Februar 2024, als die "Operation Cronos" - eine koordinierte multinationale Aktion - zur vorübergehenden Beschlagnahmung des DLS und des angeschlossenen Portals führte. Obwohl die LockBit-Dienste fünf Tage später wiederhergestellt wurden, führten weitere Maßnahmen im Mai 2024 zu Anklagen und Sanktionen gegen mehrere der wichtigsten Mitglieder der Gruppe, darunter ein russischer Staatsbürger, der als Hauptentwickler und Administrator identifiziert wurde. Im Dezember 2024 begegnete LockBit diesen Rückschlägen mit der Veröffentlichung von LockBit 4.0veröffentlicht, das insbesondere die Option zur Generierung von LockBit Red Nutzdaten entfernte. Trotz der andauernden Störungen hat LockBit seine Position als eine beeindruckende ransomware aufrechterhalten, indem es seine Angebote regelmäßig aktualisiert und über sein RaaS-Framework weiterhin Partner anzieht.
Quellen: KAG & Crowdstrike
Von Lockbit betroffene Länder
Trotz der von Lockbit beteuerten politischen Neutralität scheint eine beträchtliche Anzahl seiner Opfer aus NATO-Mitgliedstaaten und deren Verbündeten zu stammen.
Ungefähr 50 % der Angriffe mit dem LockBit 3.0-Stamm betrafen Unternehmen in den Vereinigten Staaten. Hacker, die Lockbit einsetzen, haben von US-Opfern Lösegeldzahlungen in Höhe von mehr als 91 Millionen US-Dollar erhalten.
Auch Brasilien und Indien sind stark im Visier.
Von Lockbit angesprochene Branchen
Das verarbeitende Gewerbe wird häufig von LockBit angegriffen, wobei jedoch kein einzelner Industriezweig herausgegriffen wird, was die wahllosen Angriffe der Gruppe unterstreicht.
Obwohl LockBit in der Regel kleine und mittelständische Unternehmen angreift, sind auch große Firmen wie der IT-Riese Accenture nicht davor gefeit, in die Hände von LockBit zu fallen.
Quelle: SOCRadar
Lockbit's Opfer
Bis heute sind 1999 Opfer den bösartigen Machenschaften von Lockbit zum Opfer gefallen.
Lockbits Angriffsmethode
LockBit 3.0-Teilnehmer greifen auf Netzwerke zu, indem sie:
- Kompromittierung bestehender Kontoanmeldedaten
- Nutzung von RDP-Verletzungen
- Ausnutzung von Schwachstellen in öffentlich zugänglichen Systemen
- Navigieren zu bösartigen Websites während des normalen Surfens
- Durchführung von phishing Angriffen
LockBit 3.0 versucht, höhere Zugriffsrechte zu erlangen, wenn die aktuellen Berechtigungen unzureichend sind, und verwendet automatische Anmeldefunktionen, um die Berechtigungen zu erhöhen.
LockBit 3.0 verbirgt seine Aktivitäten, indem es die Kommunikation mit den Kontrollservern verschlüsselt und sich nach der Ausführung selbst löscht; die Entschlüsselung erfolgt nur, wenn das richtige Kennwort eingegeben wird.
Um in einem Netzwerk eingebettet zu bleiben, manipuliert LockBit 3.0 kompromittierte Benutzerkonten und konfiguriert Systeme für die automatische Anmeldung.
LockBit 3.0 verwendet ProDump von Microsoft Sysinternals, um den Prozessspeicherinhalt von LSASS.exe zu extrahieren.
LockBit 3.0 scannt Netzwerke mit SoftPerfect Network Scanner, sammelt detaillierte System- und Domaindaten und vermeidet die Infektion von Systemen mit bestimmten Spracheinstellungen.
Für das Eindringen in interne Netzwerke nutzt LockBit 3.0 die Remote-Desktop-Software Splashtop.
LockBit 3.0 richtet die Befehls- und Kontrollfunktionen mit FileZilla ein und automatisiert sichere Shell-Interaktionen über Plink auf Windows-Systemen. Während des Betriebs führt LockBit 3.0 Befehle aus und verwendet Chocolatey, einen Windows-Paketmanager, für die Softwareverwaltung.
LockBit 3.0 nutzt sein maßgeschneidertes Tool Stealbit und beliebte cloud -Dienste, um Daten aus Netzwerken abzuschöpfen.
LockBit 3.0 unterbricht den Betrieb, indem es Protokolle löscht, den Papierkorb leert, Daten verschlüsselt, Prozesse und Dienste anhält, Schattenkopien löscht und das Aussehen des infizierten Systems mit seinen eigenen Bildern verändert.
LockBit 3.0-Teilnehmer greifen auf Netzwerke zu, indem sie:
- Kompromittierung bestehender Kontoanmeldedaten
- Nutzung von RDP-Verletzungen
- Ausnutzung von Schwachstellen in öffentlich zugänglichen Systemen
- Navigieren zu bösartigen Websites während des normalen Surfens
- Durchführung von phishing Angriffen
LockBit 3.0 versucht, höhere Zugriffsrechte zu erlangen, wenn die aktuellen Berechtigungen unzureichend sind, und verwendet automatische Anmeldefunktionen, um die Berechtigungen zu erhöhen.
LockBit 3.0 verbirgt seine Aktivitäten, indem es die Kommunikation mit den Kontrollservern verschlüsselt und sich nach der Ausführung selbst löscht; die Entschlüsselung erfolgt nur, wenn das richtige Kennwort eingegeben wird.
Um in einem Netzwerk eingebettet zu bleiben, manipuliert LockBit 3.0 kompromittierte Benutzerkonten und konfiguriert Systeme für die automatische Anmeldung.
LockBit 3.0 verwendet ProDump von Microsoft Sysinternals, um den Prozessspeicherinhalt von LSASS.exe zu extrahieren.
LockBit 3.0 scannt Netzwerke mit SoftPerfect Network Scanner, sammelt detaillierte System- und Domaindaten und vermeidet die Infektion von Systemen mit bestimmten Spracheinstellungen.
Für das Eindringen in interne Netzwerke nutzt LockBit 3.0 die Remote-Desktop-Software Splashtop.
LockBit 3.0 richtet die Befehls- und Kontrollfunktionen mit FileZilla ein und automatisiert sichere Shell-Interaktionen über Plink auf Windows-Systemen. Während des Betriebs führt LockBit 3.0 Befehle aus und verwendet Chocolatey, einen Windows-Paketmanager, für die Softwareverwaltung.
LockBit 3.0 nutzt sein maßgeschneidertes Tool Stealbit und beliebte cloud -Dienste, um Daten aus Netzwerken abzuschöpfen.
LockBit 3.0 unterbricht den Betrieb, indem es Protokolle löscht, den Papierkorb leert, Daten verschlüsselt, Prozesse und Dienste anhält, Schattenkopien löscht und das Aussehen des infizierten Systems mit seinen eigenen Bildern verändert.
Von Lockbit verwendete TTPs
Wie man Lockbit erkennt mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist LockBit ransomware?
LockBit ist ein Ransomware-as-a-Service (RaaS), der die Daten einer Organisation verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel fordert. Er ist bekannt für seine Heimlichkeit, Geschwindigkeit und die Verwendung eines doppelten Erpressungsschemas.
Wie verschafft sich LockBit den ersten Zugang zu Netzwerken?
LockBit verschafft sich den ersten Zugang oft auf verschiedene Weise, z. B. durch Ausnutzung von Remote-Desktop-Protokollen (RDP), phishing, Spear-phishing und durch die Verwendung von Anmeldeinformationen von zuvor angegriffenen Konten.
Wodurch unterscheidet sich LockBit 3.0 von seinen Vorgängerversionen?
LockBit 3.0 ist modularer und ausweichender, mit verbesserter Verschlüsselung und der Möglichkeit, die Nutzlast des Angriffs anzupassen. Es hat Funktionen von anderen ransomware wie BlackMatter und BlackCat übernommen.
War LockBit in irgendwelche bedeutenden Cybervorfälle verwickelt?
Ja, LockBit war für zahlreiche Angriffe auf Unternehmen in aller Welt verantwortlich, darunter auch aufsehenerregende Vorfälle bei großen multinationalen Unternehmen.
Auf welche Branchen zielt LockBit normalerweise ab?
LockBit ist nicht auf einen bestimmten Sektor ausgerichtet. Es ist bekannt, dass es auf eine breite Palette von Branchen abzielt, einschließlich Gesundheitswesen, Bildung und Fertigung.
Wie handhabt LockBit den Lösegeldprozess?
LockBit hinterlässt in der Regel eine Lösegeldforderung mit Zahlungsanweisungen auf dem angegriffenen System. Die Zahlung wird in der Regel in Kryptowährung gefordert, und die Verhandlungen werden manchmal im Dark Web geführt.
Welche Verteidigungsmaßnahmen können gegen LockBit wirksam sein?
Regelmäßige Updates und Patches für die Systeme, robuste Zugangskontrollen, häufige Schulungen zum Sicherheitsbewusstsein, fortschrittliche Tools zur Erkennung von Bedrohungen und Offline-Sicherungen sind wichtige Schutzmaßnahmen.
Gibt es Entschlüsselungstools für mit LockBit verschlüsselte Dateien?
Wenn Sie von LockBit betroffen sind, hat die National Crime Agency (NCA) 1.000 Entschlüsselungsschlüssel von der LockBit-Website erworben, die bei der Entschlüsselung der gestohlenen Daten helfen können.
Was ist die beste Vorgehensweise, wenn mein Netzwerk durch LockBit kompromittiert wurde?
Isolieren Sie die betroffenen Systeme, leiten Sie einen Notfallplan ein und wenden Sie sich an die Strafverfolgungsbehörden und Cybersicherheitsexperten. Vermeiden Sie die Zahlung des Lösegelds, da dies keine Garantie für die Wiederherstellung der Daten bietet und weitere kriminelle Aktivitäten finanzieren könnte.
Was ist über die Betreiber von LockBit bekannt?
Es wird vermutet, dass die Betreiber Teil einer ausgeklügelten cyberkriminellen Gruppe sind, die mit einem RaaS-Modell arbeitet und Partner rekrutiert, um die ransomware zu verbreiten, während sie im Verborgenen bleiben und die Anonymität wahren.