Die Ransomware LockBit ist eine Schadsoftware, die darauf ausgelegt ist, den Nutzerzugang zu Computersystemen zu sperren, um damit eine Lösegeldzahlung zu erzwingen. LockBit prüft automatisch auf besonders attraktive Ziele, verbreitet sich infektionsartig und verschlüsselt alle in einem Netzwerk zugänglichen Computersysteme. Die Ransomware wird für sehr zielgerichtete Angriffe auf Unternehmen sowie andere Organisationen eingesetzt. Im Rahmen ihrer selbstgesteuerten Cyberangriffe haben sich die LockBit-Angreifer einen Namen gemacht, indem sie Organisationen weltweit einigen der folgenden Bedrohungen aussetzen:
LockBit ist ein neuer Ransomware-Angriff in einer langen Reihe von erpresserischen Cyberangriffen. Die Ransomware agierte zuvor unter dem Namen „ABCD“ und hat sich seitdem innerhalb dieser Erpressungstools zu einer einzigartigen Bedrohung entwickelt. LockBit gehört zu einer Untergruppe von Ransomware, die auch als „Krypto-Virus“ bezeichnet wird, welche auf die übliche Forderung einer Geldzahlung im Austausch für die Entschlüsselung abzielt. Sie richtet sich meist gegen Unternehmen und Regierungsbehörden und weniger gegen Einzelpersonen.
Angriffe auf Basis von LockBit tauchten zum ersten Mal im September 2019 auf und wurden zunächst als „.abcd virus“ bezeichnet. Der Name leitete sich von der Dateierweiterung ab, mit der die Dateien der Opfer verschlüsselt wurden. Zu den Hauptzielen zählten damals Organisationen in den Vereinigten Staaten, China, Indien, Indonesien und in der Ukraine. Darüber hinaus gab es auch Angriffe in verschiedenen europäischen Ländern (Frankreich, Großbritannien, Deutschland).
Ins Visier genommen werden in erster Linie Unternehmen, die durch die Störung so weit behindert werden, dass sie bereit sind, große Summen zu bezahlen – und die auch über die entsprechenden Mittel verfügen. Dementsprechend kann das zu einer unkontrollierten Ausbreitung der Angriffe gegen Großunternehmen aus dem Gesundheitswesen bis hin zu Finanzinstituten führen. Der automatisierte Überprüfungsprozess scheint bewusst Systeme mit Standorten in Russland oder anderen Ländern der Gemeinschaft Unabhängiger Staaten (GUS) zu meiden. Vermutlich möchte man einer Strafverfolgung in diesen Regionen aus dem Wege gehen.
LockBit arbeitet als Ransomware-as-a-Service (RaaS). Interessierte Parteien zahlen eine Kaution für die Nutzung der benutzerdefinierten „Miet“-Angriffe und profitieren im Rahmen eines Beteiligungsnetzes. Die Lösegeldzahlungen werden zwischen dem LockBit-Entwicklerteam und den angeschlossenen Angreifern aufgeteilt, die bis zu ¾ der Gewinne einstreichen.
Die Ransomware LockBit wird von zahlreichen Autoritäten als der Malware-Familie „LockerGoga & MegaCortex“ zugehörig eingestuft. Das bedeutet ganz einfach, dass sie sehr ähnliche Verhaltensweisen wie diese etablierten Formen von gezielter Ransomware aufweist. Diese Angriffe haben kurz gesagt folgende Eigenschaften:
Besonders signifikant, ist ihre Fähigkeit sich eigenständig auszubreiten. LockBit ist so programmiert, dass es von speziell entwickelten automatisierten Prozessen gelenkt wird. Damit hebt es sich von vielen anderen Ransomware-Angriffen ab, die im Netzwerk verharren – manchmal sogar wochenlang – um ihre Aufklärungs- und Überwachungsarbeit durchzuführen.
Nachdem der Angreifer einen einzelnen Host manuell infiziert hat, kann er andere zugängliche Hosts finden, diese mit den Infizierten verbinden und die Infektion über ein Skript teilen. Dieser ganze Vorgang läuft komplett und immer wieder ohne menschliches Zutun ab.
Außerdem werden Tools in Mustern verwendet, die in nahezu allen Windows-Computersystemen nativ vorzufinden sind. Endpoint Security-Systeme tun sich sehr schwer, schädliche Aktivitäten aufzudecken. Die Ransomware versteckt außerdem die ausführbare Verschlüsselungsdatei im gängigen PNG-Bildformat, wodurch die Systemabwehr weiter getäuscht wird.
LockBit-Angriffe laufen grob gesagt in drei Phasen ab:
Phase 1: Ausnutzen von Schwachstellen in einem Netzwerk. Die erste Phase unterscheidet sich nicht wesentlich von anderen böswilligen Angriffen. Eine Organisation kann Social Engineering-Taktiken – wie Phishing – zum Opfer fallen, in denen sich Angreifer als vertrauenswürdige Mitarbeiter oder Behörde ausgeben, um Zugangsdaten anzufordern. Ebenfalls denkbar ist das gewaltsame Eindringen in die Intranet-Server oder Netzwerksysteme einer Organisation. Ohne angemessene Netzwerkkonfiguration sind solche Angriffsversuche bereits nach wenigen Tagen erfolgreich.
Sobald sich LockBit Zugang zu einem Netzwerk verschafft hat, bereitet die Ransomware das System darauf vor die Schadsoftware freizusetzen und jedes erreichbare Gerät zu verschlüsseln. Unter Umständen muss ein Angreifer aber noch ein paar weitere Schritte einleiten, bevor er seinen letzten und entscheidenden Zug macht.
Phase 2: Tiefere Infiltrierung, um bei Bedarf die Angriffsstruktur zu vervollständigen. Von diesem Punkt an, leitet LockBit selbstständig alle weiteren Aktivitäten ein. Das Programm ist so konzipiert, dass es so genannte „Post-Exploitation“-Tools nutzt, um sich Berechtigungen zur Eskalation zu verschaffen und endgültig zum Angriff übergehen zu können. Es nutzt außerdem bereits über horizontale Infiltrierung verfügbare Zugänge, um die Tragfähigkeit des Ziels zu überprüfen.
In eben dieser Phase unternimmt LockBit sämtliche vorbereitenden Schritte, bevor der Verschlüsselungsteil der Ransomware bereitgestellt wird. Dazu gehört auch das Ausschalten von Sicherheitsprogrammen und sonstiger Infrastruktur, über die das System wiederhergestellt werden könnte.
Ziel der Infiltrierung ist es, eine Wiederherstellung, ohne Hilfe unmöglich zu machen oder so stark zu verlangsamen, dass die Zahlung des Lösegelds an den Angreifer als einzige praktikable Lösung erscheint. Wenn das Opfer verzweifelt genug ist, dann wird es auch auf die Lösegeldforderung eingehen.
Phase 3: Ausführen der Verschlüsselungssoftware Sobald das Netzwerk so weit vorbereitet wurde, dass LockBit vollständig mobilisiert werden kann, beginnt die Ransomware sich über jede erreichbare Maschine auszubreiten. Wie bereits erwähnt, braucht LockBit nicht mehr viel, um diese Phase abzuschließen. Ein einziges System mit hoher Zugangsberechtigung kann andere Netzwerkeinheiten anweisen LockBit herunterzuladen und auszuführen.
Der Verschlüsselungsteil versieht alle Systemdateien mit einer Sperre. Um die Sperre aufzuheben, muss das Opfer einen speziellen Schlüssel haben, der vom proprietären Entschlüsselungstool von LockBit erstellt wird. Bei diesem Vorgang werden auch in jedem Systemordner Kopien einer einfachen Textdatei mit der Lösegeldforderung hinterlassen. Darin erhält das Opfer Anweisungen, wie es sein System wiederherstellen kann – in manchen LockBit-Versionen enthält das Schreiben sogar erpresserische Drohungen.
Nachdem alle Phasen abgeschlossen sind, sind die nächsten Schritte dem Opfer vorbehalten. Eine Möglichkeit wäre sich an den Support Desk von LockBit zu wenden und das Lösegeld zu zahlen. Allerdings ist es nicht ratsam, die Forderungen zu erfüllen. Das Opfer hat keine Garantie, dass sich die Angreifer tatsächlich an die Abmachung halten.
Als neueste Form von Ransomware könnte LockBit zu einem ernsthaften Problem werden. Es ist nicht auszuschließen, dass es sich in vielen Branchen und Organisationen ausbreitet, insbesondere vor dem Hintergrund der vermehrten Remote-Arbeit. Damit man weiß, womit man es zu tun hat, werden im Folgenden die einzelnen Varianten von LockBit beschrieben.
Die ursprüngliche Version von LockBit benennt Dateien um, indem sie die Dateierweiterung „.abcd“ anfügt. Außerdem hinterlässt sie in jedem einzelnen Ordner ein Erpresserschreiben (die „Restore-My-Files.txt“-Datei) mit Forderungen und Anweisungen für die angebliche Wiederherstellung.
Die zweite bekannte Version dieser Ransomware nutzt die Dateierweiterung „.LockBit“, nach der die Schadsoftware derzeit auch benannt ist. Allerdings gibt es auch bereits weitere Abwandlungen dieser Version, die bis auf einige Veränderungen im Backend identisch sind.
Bei der nächsten als LockBit identifizierten Version wird im Erpresserschreiben nicht mehr verlangt, dass der Tor-Browser heruntergeladen wird. Stattdessen werden die Opfer über einen traditionellen Internetzugang auf eine alternative Webseite geschickt.
LockBit wurde kürzlich um weitere üble Funktionen erweitert, wie die Negierung von Administrator-Abfragen. LockBit deaktiviert mittlerweile die Sicherheitsaufforderungen, die der Nutzer bestätigen muss, damit eine Anwendung mit Administratorrechten ausgeführt werden kann.
Außerdem kann die Malware Kopien von Serverdaten stehlen und fügt zusätzliche Drohungen in das Erpresserschreiben ein. Für den Fall, dass das Opfer den Forderungen nicht nachkommt, droht LockBit jetzt mit der Veröffentlichung von privaten Daten.
Wenn Ihre Organisation bereits infiziert ist, genügt es nicht LockBit zu entfernen, um wieder an die eigenen Dateien zu kommen. Sie benötigen noch immer ein Tool, um Ihr System wiederherzustellen, da die Verschlüsselung nur mithilfe eines „Schlüssels“ aufgehoben werden kann. Alternativ können Sie Ihre Systeme eventuell über ein vorhandenes Image wiederherstellen, wenn Sie vor dem Befall mit der Schadsoftware eine Image-Datei erstellt haben.
Letzten Endes läuft alles darauf hinaus, dass Sie Maßnahmen ergreifen müssen, damit Ihre Organisation gegen jede Form von Ransomware oder böswilligen Angriffen geschützt ist. Im Folgenden finden Sie ein paar Hinweise, wie Sie sich wappnen können:
Verwandte Artikel: