LockBit im Rampenlicht
LockBit ist eine der aktivsten Ransomware mit leistungsstarke Malware-Funktionen und einem mächtigen Partnerprogramm. Für Unternehmen ist es daher zu empfehlen, die Taktiken, Techniken und Verfahren (TTPs) von LockBit zu kennen.
Save to Folio
Originalartikel von Trend Micro Research
LockBit trat erstmals im September 2019 als ABCD-Ransomware in Erscheinung und wurde zu einer der heute am weitesten verbreiteten Ransomware-Familien weiterentwickelt. Durch ihren professionellen Geschäftsbetrieb und ihr starkes Partnerprogramm haben die Betreiber von LockBit bewiesen, dass sie langfristig an der Sache dran sind. Die Kenntnis ihrer Taktiken hilft Unternehmen dabei, ihre Abwehr gegen aktuelle und künftige Ransomware-Angriffe zu verstärken. Für Unternehmen ist es daher von Vorteil, die Taktiken, Techniken und Verfahren (TTPs) von LockBit zu kennen.
LockBit nutzt ein Ransomware-as-a-Service (RaaS)-Modell und hat sich immer wieder neue Wege erschlossen, um der Konkurrenz voraus zu sein. Seine doppelten Erpressungsmethoden setzen die Opfer zusätzlich unter Druck und erhöhen den Erfolg ihrer Kampagnen.
Eine seiner bemerkenswerten Taktiken war die Entwicklung und Verwendung der Malware StealBit, die die Exfiltration von Daten automatisiert. Dieses Tool wurde mit der Veröffentlichung von LockBit 2.0 vorgestellt, der neuesten bekannten Version, die von ihren Entwicklern für die schnellste und effizienteste Verschlüsselung unter den Mitbewerbern angepriesen wurde. Im Oktober 2021 erweiterte LockBit mit Linux-ESXI Locker Version 1.0 den Radius auch auf Linux-Hosts, insbesondere ESXi-Server. Diese Variante ist in der Lage, Linux-Hosts anzugreifen und könnte große Auswirkungen auf betroffene Unternehmen haben.
Eine andere Seite der LockBit-Aktivitäten ist die Anwerbung von und das Marketing für Partnerunternehmen. Es ist bekannt, dass LockBit Netzwerkzugangs-Broker anheuert, mit anderen kriminellen Gruppen (wie z. B. der inzwischen aufgelösten Maze) zusammenarbeitet, Firmen-Insider rekrutiert und Untergrund-Wettbewerbe sponsert, um talentierte Hacker zu rekrutieren. Mit solchen Taktiken hat sich die LockBit-Gruppe zu einer der professionellsten organisierten kriminellen Banden im kriminellen Untergrund entwickelt.
Unsere Untersuchung des Intrusion-Sets hinter LockBit, als Water Selkie geführt, zeigt die Effektivität und die Auswirkungen der besprochenen Taktiken:
- Die Leistung der Malware ist ein starkes Verkaufsargument. Die Bemühungen der Bedrohungsgruppe, die Fähigkeiten ihrer Malware bekannt zu machen, haben sie als die Ransomware mit einer der schnellsten und effizientesten Verschlüsselungsmethoden etabliert.
- Sie setzt auf Druck von außen und die Probleme, die ihre potenziellen Ziele zu bewältigen haben. Die Betreiber von Water Selkie bevorzugen Opfer in Europa, die befürchten, gegen die EU-Datenschutzgrundverordnung (GDPR) zu verstoßen. Sie halten auch die USA weiterhin für lukrative Ziele, sehen aber, dass Datenschutzgesetze ihre Chancen auf eine erfolgreiche Zahlung beeinträchtigen können. Im Allgemeinen sind sie auf geopolitische Themen eingestellt, die sie zu ihrem Vorteil nutzen können.
- Setzt auf die Stärke seines Partnerprogramms. Ein wichtiger Faktor für den Erfolg von LockBit ist, wie gut die Gruppe vertrauenswürdige und fähige Partner rekrutiert.
- Für die Zukunft hat das Unternehmen noch mehr auf Lager. Water Selkie hat seinen Betrieb in der zweiten Hälfte des Jahres 2021 deutlich ausgeweitet. Laut einem Interview, das mit einem der Betreiber von LockBit geführt wurde, sollten Unternehmen in Zukunft auch mehr Angriffe auf die Lieferkette erwarten.
Da LockBit-Mitglieder wahrscheinlich auch an anderen RaaS-Aktivitäten beteiligt sind, ist es nicht unwahrscheinlich, dass ihre Taktik in die anderer Ransomware-Gruppen übertragen wird.
Die am meisten betroffenen Branchen und Länder
Die meisten LockBit-bezogenen Entdeckungen gab es in der Gesundheitsbranche, gefolgt vom Bildungssektor. LockBit-Bedrohungsakteure behaupteten zwar, keine Gesundheits-, Bildungs- und Wohltätigkeitseinrichtungen anzugreifen, doch warnte das US-Gesundheitsministerium (HHS) die Öffentlichkeit davor, sich auf solche Aussagen zu verlassen.
LockBit wurde auf der ganzen Welt gefunden, wobei die meisten Angriffsversuche zwischen Juni 2021 und 20. Januar 2022 in den USA stattfanden, gefolgt von Indien und Brasilien. Wie viele Ransomware-Familien meidet LockBit die Länder der Gemeinschaft Unabhängiger Staaten (GUS). Weitere Details zu den Aktivitäten von LockBit nach Branchen und Regionen liefert der Originalbeitrag.
Infektionsablauf und Techniken
Die LockBit-Infektionsabläufe der als RaaS betriebenen Malware zeigen eine Vielzahl von Taktiken und Tools, die je nach den am Angriff beteiligten Partnern eingesetzt werden. Die Partner kaufen den Zugang zu den Zielen in der Regel von anderen Bedrohungsakteuren, die sich diesen über Phishing, das Ausnutzen anfälliger Apps oder Brute Forcing von RDP-Konten (Remote Desktop Protocol) verschaffen.
Weitere Varianten des Infektionsablaufs (etwa über Power Shell Empire oder Meterpreter) bietet der Originalbeitrag.
LockBit-Betreiber verschaffen sich den Zugang meist über kompromittierte Server oder RDP-Konten, die in der Regel gekauft oder von Partnern bezogen werden. In einigen Fällen erfolgte er über Spam-Mails oder durch Brute-Forcing unsicherer RDP- oder VPN-Anmeldeinformationen oder auch über die Ausnutzung der Sicherheitslücke CVE-2018-13379 von Fortinet VPN.
LockBit wird in der Regel über die Befehlszeile ausgeführt, da diese Parameter wie Dateipfade oder Verzeichnisse akzeptiert, wenn nur bestimmte Pfade verschlüsselt werden sollen. Die Ausführung kann auch über erstellte geplante Aufgaben oder mit PowerShell Empire, einem reinen PowerShell-Agenten für die Post-Exploition, erfolgen. Die weiteren technischen Einzelheiten eines Angriffs können Interessierte im Originalbeitrag finden, ebenso wie eine Übersicht zu MITRE Taktiken und Techniken.
Empfehlungen
m Systeme vor ähnlichen Bedrohungen zu schützen, können Unternehmen Sicherheits-Frameworks einrichten, mit denen sie systematisch Ressourcen für eine solide Abwehr von Ransomware bereitstellen können. Im Folgenden finden Sie einige bewährte Verfahren, die in diese Frameworks aufgenommen werden können:
- Audit und Inventur: Erstellen sie eine Übersicht über die Assets und Daten und identifizieren Sie autorisierte und nicht autorisierte Geräte und Software. Führen Sie einen Audit der Ereignis-Logs durch.
- Konfigurieren und Monitoren: Verwalten Sie Hardware- und Softwarekonfigurationen. Gewähren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. Überwachen Sie Netzwerk-Ports, Protokolle und Dienste. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern. Erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
- Patchen und Updaten: Führen Sie regelmäßige Schwachstellenüberprüfungen durch. Patchen und aktualisieren Sie Betriebssysteme und Anwendungen.
- Schützen und wiederherstellen: Implementieren Sie Maßnahmen für den Datenschutz, Backup und Wiederherstellung. Setzen Sie Multifaktor-Authentifizierung ein.
- Sichern und verteidigen: Implementieren Sie Sandbox-Analyse, um bösartige Mails zu blockieren. Stellen Sie die neuesten Versionen von Sicherheitslösungen auf allen Ebenen des Systems bereit, einschließlich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. das Vorhandensein von verdächtigen Tools im System, und nutzen Sie fortschrittliche Erkennungstechnologien, z. B. auf der Grundlage von KI und maschinellem Lernen.
- Schulen und testen
Ein mehrschichtiger Ansatz kann Unternehmen dabei helfen, die möglichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitslösungen, die bösartige Komponenten und verdächtiges Verhalten erkennen, können Unternehmen schützen.
Der Orginalbeitrag umfasst auch mögliche Indicators of Compromise.