Zum Hauptinhalt springen

Definition von LockBit

Die Ransomware LockBit ist eine Schadsoftware, die darauf ausgelegt ist, den Nutzerzugang zu Computersystemen zu sperren, um damit eine Lösegeldzahlung zu erzwingen. LockBit prüft automatisch auf besonders attraktive Ziele, verbreitet sich infektionsartig und verschlüsselt alle in einem Netzwerk zugänglichen Computersysteme. Die Ransomware wird für sehr zielgerichtete Angriffe auf Unternehmen sowie andere Organisationen eingesetzt. Im Rahmen ihrer selbstgesteuerten Cyberangriffe haben sich die LockBit-Angreifer einen Namen gemacht, indem sie Organisationen weltweit einigen der folgenden Bedrohungen aussetzen:

  • Betriebsunterbrechungen, bei denen essentielle Funktionen abrupt zum Stillstand gebracht werden
  • Erpressung zum finanziellen Vorteil des Hackers
  • Datendiebstahl und illegale Veröffentlichung als Drohung, wenn das Opfer nicht zahlt.

Was ist LockBit?

LockBit ist ein neuer Ransomware-Angriff in einer langen Reihe von erpresserischen Cyberangriffen. Die Ransomware agierte zuvor unter dem Namen „ABCD“ und hat sich seitdem innerhalb dieser Erpressungstools zu einer einzigartigen Bedrohung entwickelt. LockBit gehört zu einer Untergruppe von Ransomware, die auch als „Krypto-Virus“ bezeichnet wird, welche auf die übliche Forderung einer Geldzahlung im Austausch für die Entschlüsselung abzielt. Sie richtet sich meist gegen Unternehmen und Regierungsbehörden und weniger gegen Einzelpersonen.

Angriffe auf Basis von LockBit tauchten zum ersten Mal im September 2019 auf und wurden zunächst als „.abcd virus“ bezeichnet. Der Name leitete sich von der Dateierweiterung ab, mit der die Dateien der Opfer verschlüsselt wurden. Zu den Hauptzielen zählten damals Organisationen in den Vereinigten Staaten, China, Indien, Indonesien und in der Ukraine. Darüber hinaus gab es auch Angriffe in verschiedenen europäischen Ländern (Frankreich, Großbritannien, Deutschland).

Ins Visier genommen werden in erster Linie Unternehmen, die durch die Störung so weit behindert werden, dass sie bereit sind, große Summen zu bezahlen – und die auch über die entsprechenden Mittel verfügen. Dementsprechend kann das zu einer unkontrollierten Ausbreitung der Angriffe gegen Großunternehmen aus dem Gesundheitswesen bis hin zu Finanzinstituten führen. Der automatisierte Überprüfungsprozess scheint bewusst Systeme mit Standorten in Russland oder anderen Ländern der Gemeinschaft Unabhängiger Staaten (GUS) zu meiden. Vermutlich möchte man einer Strafverfolgung in diesen Regionen aus dem Wege gehen.

LockBit arbeitet als Ransomware-as-a-Service (RaaS). Interessierte Parteien zahlen eine Kaution für die Nutzung der benutzerdefinierten „Miet“-Angriffe und profitieren im Rahmen eines Beteiligungsnetzes. Die Lösegeldzahlungen werden zwischen dem LockBit-Entwicklerteam und den angeschlossenen Angreifern aufgeteilt, die bis zu ¾ der Gewinne einstreichen.

Wie funktioniert die Ransomware LockBit?

Die Ransomware LockBit wird von zahlreichen Autoritäten als der Malware-Familie „LockerGoga & MegaCortex“ zugehörig eingestuft. Das bedeutet ganz einfach, dass sie sehr ähnliche Verhaltensweisen wie diese etablierten Formen von gezielter Ransomware aufweist. Diese Angriffe haben kurz gesagt folgende Eigenschaften:

  • Sie breiten sich innerhalb einer Organisation selbstständig aus , d. h. sie kommen ohne manuellen Eingriff aus.
  • Sie werden gezielt eingesetzt und nicht breit gestreut wie z. B. Spam.
  • Sie nutzen zu ihrer Verbreitung ähnliche Tools wie Windows Powershell und Server Message Block (SMB).

Besonders signifikant, ist ihre Fähigkeit sich eigenständig auszubreiten. LockBit ist so programmiert, dass es von speziell entwickelten automatisierten Prozessen gelenkt wird. Damit hebt es sich von vielen anderen Ransomware-Angriffen ab, die im Netzwerk verharren – manchmal sogar wochenlang – um ihre Aufklärungs- und Überwachungsarbeit durchzuführen.

Nachdem der Angreifer einen einzelnen Host manuell infiziert hat, kann er andere zugängliche Hosts finden, diese mit den Infizierten verbinden und die Infektion über ein Skript teilen. Dieser ganze Vorgang läuft komplett und immer wieder ohne menschliches Zutun ab.

Außerdem werden Tools in Mustern verwendet, die in nahezu allen Windows-Computersystemen nativ vorzufinden sind. Endpoint Security-Systeme tun sich sehr schwer, schädliche Aktivitäten aufzudecken. Die Ransomware versteckt außerdem die ausführbare Verschlüsselungsdatei im gängigen PNG-Bildformat, wodurch die Systemabwehr weiter getäuscht wird.

Phasen eines LockBit-Angriffs

LockBit-Angriffe laufen grob gesagt in drei Phasen ab:

  1. Ausnutzen
  2. Infiltrieren
  3. Ausführen

Phase 1: Ausnutzen von Schwachstellen in einem Netzwerk. Die erste Phase unterscheidet sich nicht wesentlich von anderen böswilligen Angriffen. Eine Organisation kann Social Engineering-Taktiken – wie Phishing – zum Opfer fallen, in denen sich Angreifer als vertrauenswürdige Mitarbeiter oder Behörde ausgeben, um Zugangsdaten anzufordern. Ebenfalls denkbar ist das gewaltsame Eindringen in die Intranet-Server oder Netzwerksysteme einer Organisation. Ohne angemessene Netzwerkkonfiguration sind solche Angriffsversuche bereits nach wenigen Tagen erfolgreich.

Sobald sich LockBit Zugang zu einem Netzwerk verschafft hat, bereitet die Ransomware das System darauf vor die Schadsoftware freizusetzen und jedes erreichbare Gerät zu verschlüsseln. Unter Umständen muss ein Angreifer aber noch ein paar weitere Schritte einleiten, bevor er seinen letzten und entscheidenden Zug macht.

Phase 2: Tiefere Infiltrierung, um bei Bedarf die Angriffsstruktur zu vervollständigen. Von diesem Punkt an, leitet LockBit selbstständig alle weiteren Aktivitäten ein. Das Programm ist so konzipiert, dass es so genannte „Post-Exploitation“-Tools nutzt, um sich Berechtigungen zur Eskalation zu verschaffen und endgültig zum Angriff übergehen zu können. Es nutzt außerdem bereits über horizontale Infiltrierung verfügbare Zugänge, um die Tragfähigkeit des Ziels zu überprüfen.

In eben dieser Phase unternimmt LockBit sämtliche vorbereitenden Schritte, bevor der Verschlüsselungsteil der Ransomware bereitgestellt wird. Dazu gehört auch das Ausschalten von Sicherheitsprogrammen und sonstiger Infrastruktur, über die das System wiederhergestellt werden könnte.

Ziel der Infiltrierung ist es, eine Wiederherstellung, ohne Hilfe unmöglich zu machen oder so stark zu verlangsamen, dass die Zahlung des Lösegelds an den Angreifer als einzige praktikable Lösung erscheint. Wenn das Opfer verzweifelt genug ist, dann wird es auch auf die Lösegeldforderung eingehen.

Phase 3: Ausführen der Verschlüsselungssoftware Sobald das Netzwerk so weit vorbereitet wurde, dass LockBit vollständig mobilisiert werden kann, beginnt die Ransomware sich über jede erreichbare Maschine auszubreiten. Wie bereits erwähnt, braucht LockBit nicht mehr viel, um diese Phase abzuschließen. Ein einziges System mit hoher Zugangsberechtigung kann andere Netzwerkeinheiten anweisen LockBit herunterzuladen und auszuführen.

Der Verschlüsselungsteil versieht alle Systemdateien mit einer Sperre. Um die Sperre aufzuheben, muss das Opfer einen speziellen Schlüssel haben, der vom proprietären Entschlüsselungstool von LockBit erstellt wird. Bei diesem Vorgang werden auch in jedem Systemordner Kopien einer einfachen Textdatei mit der Lösegeldforderung hinterlassen. Darin erhält das Opfer Anweisungen, wie es sein System wiederherstellen kann – in manchen LockBit-Versionen enthält das Schreiben sogar erpresserische Drohungen.

Nachdem alle Phasen abgeschlossen sind, sind die nächsten Schritte dem Opfer vorbehalten. Eine Möglichkeit wäre sich an den Support Desk von LockBit zu wenden und das Lösegeld zu zahlen. Allerdings ist es nicht ratsam, die Forderungen zu erfüllen. Das Opfer hat keine Garantie, dass sich die Angreifer tatsächlich an die Abmachung halten.

Arten von LockBit-Bedrohungen

Als neueste Form von Ransomware könnte LockBit zu einem ernsthaften Problem werden. Es ist nicht auszuschließen, dass es sich in vielen Branchen und Organisationen ausbreitet, insbesondere vor dem Hintergrund der vermehrten Remote-Arbeit. Damit man weiß, womit man es zu tun hat, werden im Folgenden die einzelnen Varianten von LockBit beschrieben.

Variante 1: Dateierweiterung .abcd

Die ursprüngliche Version von LockBit benennt Dateien um, indem sie die Dateierweiterung „.abcd“ anfügt. Außerdem hinterlässt sie in jedem einzelnen Ordner ein Erpresserschreiben (die „Restore-My-Files.txt“-Datei) mit Forderungen und Anweisungen für die angebliche Wiederherstellung.

Variante 2: Dateierweiterung .LockBit

Die zweite bekannte Version dieser Ransomware nutzt die Dateierweiterung „.LockBit“, nach der die Schadsoftware derzeit auch benannt ist. Allerdings gibt es auch bereits weitere Abwandlungen dieser Version, die bis auf einige Veränderungen im Backend identisch sind.

Variante 3: LockBit-Version 2

Bei der nächsten als LockBit identifizierten Version wird im Erpresserschreiben nicht mehr verlangt, dass der Tor-Browser heruntergeladen wird. Stattdessen werden die Opfer über einen traditionellen Internetzugang auf eine alternative Webseite geschickt.

Fortlaufende Aktualisierungen und Revisionen von LockBit

LockBit wurde kürzlich um weitere üble Funktionen erweitert, wie die Negierung von Administrator-Abfragen. LockBit deaktiviert mittlerweile die Sicherheitsaufforderungen, die der Nutzer bestätigen muss, damit eine Anwendung mit Administratorrechten ausgeführt werden kann.

Außerdem kann die Malware Kopien von Serverdaten stehlen und fügt zusätzliche Drohungen in das Erpresserschreiben ein. Für den Fall, dass das Opfer den Forderungen nicht nachkommt, droht LockBit jetzt mit der Veröffentlichung von privaten Daten.

Entfernen von LockBit und Entschlüsselung

Wenn Ihre Organisation bereits infiziert ist, genügt es nicht LockBit zu entfernen, um wieder an die eigenen Dateien zu kommen. Sie benötigen noch immer ein Tool, um Ihr System wiederherzustellen, da die Verschlüsselung nur mithilfe eines „Schlüssels“ aufgehoben werden kann. Alternativ können Sie Ihre Systeme eventuell über ein vorhandenes Image wiederherstellen, wenn Sie vor dem Befall mit der Schadsoftware eine Image-Datei erstellt haben.

Wie man sich vor der Ransomware LockBit schützen kann

Letzten Endes läuft alles darauf hinaus, dass Sie Maßnahmen ergreifen müssen, damit Ihre Organisation gegen jede Form von Ransomware oder böswilligen Angriffen geschützt ist. Im Folgenden finden Sie ein paar Hinweise, wie Sie sich wappnen können:

  1. Verwenden Sie sichere Passwörter. Konten werden in vielen Fällen über leicht zu erratende Passwörter gehackt oder über solche Passwörter, die ein Algorithmus-Tool innerhalb weniger Tage knacken kann. Machen Sie Ihre Passwörter sicher, indem Sie längere, variationsreiche Zeichenketten wählen und erstellen Sie eigene Regeln für Passphrasen.
  2. Aktivieren Sie die Multifaktor-Authentifizierung. Wehren Sie gewaltsame Einbruchsversuche ab, indem Sie Ihre Passwort-basierten Anmeldedaten mit zusätzlichen Schutzebenen versehen. Nutzen Sie, wann immer möglich, an allen Systemen zusätzliche Authentifizierungsverfahren – wie Biometrie oder die physische Authentifizierung per USB-Stick.
  3. Unterziehen Sie die Berechtigungen von Benutzerkonten einer Neubewertung. Schränken Sie den Kreis der Berechtigten stärker ein, um potentielle Bedrohungen zu reduzieren. Achten Sie vor allem auf die Zugangsebene von Endpoint-Nutzern und auf IT-Konten mit Administratorrechten. Schützen Sie sämtliche Webdomänen, Kollaborationsplattformen, Meeting-Services im Internet und Unternehmensdatenbanken.
  4. Säubern Sie Ihr System von veralteten und nicht mehr verwendeten Benutzerkonten. In älteren Systemen finden sich gelegentlich Konten von ehemaligen Mitarbeitern, die nie deaktiviert oder geschlossen wurden. Eine generelle Überprüfung Ihrer Systeme sollte die Entfernung dieser potentiellen Schwachpunkte mit einschließen.
  5. Überprüfen Sie Systemkonfigurationen auf Übereinstimmung mit sämtlichen Sicherheitsverfahren. Die Überprüfung der vorhandenen Setups wird einige Zeit in Anspruch nehmen, könnte aber Hinweise auf neue Probleme und veraltete Richtlinien liefern, die Ihre Organisation dem Risiko eines Angriffs aussetzen könnten. Standardverfahren müssen regelmäßig neu bewertet werden, um gegen neue Cyberbedrohungen auf dem neusten Stand zu bleiben.
  6. Halten Sie stets systemweite Backups und saubere Images lokal bereit. Vorfälle lassen sich nie ganz vermeiden und der einzig wahre Schutz vor dauerhaftem Datenverlust besteht in einer Offline-Kopie. Daher sollte Ihre Organisation regelmäßige Backups erstellen, damit wichtige Änderungen am System erhalten bleiben. Für den Fall, dass ein Backup durch eine Malware-Infektion unbrauchbar wird, ist es sinnvoll, mehrere rotierende Backup-Punkte einzurichten, damit ein sauberer Zeitraum gewählt werden kann.

Verwandte Artikel:

Alles Wissenswerte zur Ransomware LockBit

Das ist die neueste Ransomware, die Unternehmen weltweit betrifft. Erfahren Sie in diesem Dokument, wie Sie noch heute Ihr Unternehmen vor dieser gefährlichen Malware schützen.
Kaspersky Logo