Die Zukunft von CIAM – Fünf Schlüsseltrends in der KI-gesteuerten Authentifizierung
In den vergangenen Wochen hat die Ransomware-as-a-Service-(RaaS)-Gruppe LockBit Schlagzeilen mit ihren erfolgreichen Angriffen gemacht. Mit ihrer aktuellen Schadsoftware LockBit 3.0, auch LockBit Black genannt, belegen sie nun den ersten Platz auf der Liste der gefährlichsten Ransomware-Bedrohungen. Sicherheitsanalysen zeigen, dass LockBit nach der Auflösung von Conti die schlagkräftigste Erpresser-Bande ist. Aber nicht nur das macht die Erpresser rund um das Schadprogramm so gefährlich. Es wird auch immer mehr eine Professionalisierung der Cyberkriminellen festgestellt. Für Unternehmen bedeutet das ein erhöhtes Sicherheitsrisiko. Was es mit der Malware auf sich hat und wie Unternehmen sich schützen können, lesen Sie hier.
Die Entwicklung von LockBit
Im März 2022 wurden kritische Fehler bei der Ransomware-Version LockBit 2.0 gefunden. Die Entwickler der Schadsoftware nahmen das zum Anlass, ihre Verschlüsselung einem Update zu unterziehen und die Malware mit neuen, weiteren Funktionen auszustatten. Ziel der neuen Funktionen war es, Sicherheitsexperten zu täuschen.
Mit dem Slogan „Make Ransomware Great Again“ fiel die RaaS-Gruppe dann im Juni wieder auf. Diese Entwicklung zeigt, dass die Erpresserbande weit mehr als ein Zusammenschluss von blossen Cyberkriminellen ist und ein ausgeklügeltes Geschäftsmodell verfolgt. Neben der Werbung für die aktualisierten Ransomware-Version LockBit 3.0 legte die Gruppe auch ein Bug-Bounty-Programm auf. Ziel war es, für die Malware-Verantwortlichen Fehler auf der Website sowie Fehler bei dem Verschlüsselungsprogramm zu finden. Damit einher ging ein allgemeiner Aufruf, Ideen, wie die Software oder Website verbessert werden könnte, beizusteuern. Die Suche nach Bugs wurde also für ein Preisgeld outgesourct, und die Entwickler erhofften sich eine Optimierung ihres Schadprogramms.
Aber auch potenzielle Opfer können mit einem „Update“ von LockBit rechnen. So entwickelten sie ihre Leak-Webseite – ähnlich wie Conti – weiter. Den Opfern steht auf der Webseite die Möglichkeit zur Verfügung, eine Fristverlängerung von 10.000 US-Dollar zu kaufen, bevor die gekaperten Daten veröffentlicht werden. Für knapp 875.000 Dollar können User die veröffentlichten Daten entweder zum „eigenen Gebrauch“ downloaden oder die Daten zerstören.
Funktionen und Vorgehen von LockBit 3.0 – Ähnlichkeiten zu anderen Schadprogrammen
Nachdem Sicherheitsforscher die Ransomware genauer untersucht haben, wiesen sie darauf hin, dass Teile des Codes von LockBit 3.0 grosse Ähnlichkeit mit dem von BlackMatter aufweisen. Diese Ransomware, die ursprünglich den Namen DarkSide trug, verschlüsselte Dateien mit einer Erweiterung, die aus einer zufälligen Zeichenabfolge bestand. Aber auch Spuren von anderer Malware lassen sich in dem Code von LockBit Black feststellen.
So weist LockBit Black – ähnlich wie auch BlackMatter – mehrere Anti-Analyse-Techniken auf. Damit werden statische und dynamische Analysen abgewendet. Dazu gehören Code-Packing, die dynamische Auflösung von Funktionsadressen, die Verschleierung von Aktivitäten, Funktionstrampoline und Anti-Debugging-Techniken.
Die Ransomware-Nutzdaten werden meistens über Drittanbieter-Frameworks, beispielsweise Cobalt Strike geladen. Cobalt Strike ist eine Software, um Wirtschaftsspionage im unternehmenseigenen Netzwerk zu simulieren und so die Sicherheit zu überprüfen. Auch der Windows-Defender wurde schon zweckentfremdet, um die Schadsoftware in Unternehmenssysteme einzuspielen. So nutzen die Angreifer bei Windows eine Log4j-Schwachstelle aus und starten Power-Shell. Sobald die Hacker ausreichende Rechte erlangt haben, versuchen sie, Nutzdaten herunterzuladen und auszuführen.
Zudem richteten die Hacker mehrere Spiegelserver für ihre gestohlenen Daten ein und veröffentlichten die URLs der Websites, um die Widerstandsfähigkeit der Operation „Make Ransomware Great Again“ zu verbessern. Die Aktualisierung von LockBit 2.0 auf LockBit 3.0 brachte eine grosse Nachfrage ins Rollen, sodass zahlreiche Opfer von anderen Cyberkriminellen auf der neuen Version der Leaks-Site identifiziert wurden.
Diese Entwicklung zeigt, dass die RaaS-Anbieter sich einem lukrativen Geschäftsmodell zugewandt haben und aus dem Service-Modell hohen Profit schlagen möchten.
Doch wie können sich Unternehmen gegen die aktuelle Bedrohung von LockBit 3.0 schützen?
Schutz vor LockBit 3.0
Die Angriffe mit der Ransomware LockBit 3.0 werden gezielt gegen grosse Unternehmen eingesetzt, um höchstmöglichen Profit zu ergaunern und nicht breit ausgesendet wie beispielsweise Phishing-Spams. Innerhalb eines Unternehmens führt die Schadsoftware den Angriff dann selbstständig aus. Das bedeutet, dass kein manueller Eingriff notwendig ist. Da sie Tools wie Cobalt Strike oder Microsoft Powershell verwenden, ist die Trefferquote erhöht. Ist ein einzelner Server beziehungsweise Host infiziert, breitet sich die Ransomware selbstständig aus und findet andere Hosts, die sich infizieren lassen.
Um einen grösstmöglichen Schutz vor dieser böswilligen Attacke zu haben, empfiehlt es sich folgende Sicherheitsmassnahmen zu ergreifen:
- Passwörter – aber sicher: Verwenden Sie für unterschiedliche Anwendungen immer unterschiedliche und starke Passwörter.
- Aktualisieren der Systeme: Um Sicherheitslücken im System besonders gering zu halten, achten Sie darauf, alle Updates und Patches auf die Systeme aufzuspielen.
- Verbesserte Sicherheit durch die Multi-Faktor-Authentifizierung (MFA): Mit der zusätzlichen Schutzebene kann Ihr passwortbasiertes Anmeldesystem noch sicherer werden. Noch mehr Sicherheit liefert die biometrische Authentifizierung.
- Neubewertung von Berechtigungen: Um potenziellen Bedrohungen vorzubeugen, sollten Sie darauf achten, wer auf die Zugangsebene von Endpoint-Nutzern und auf die IT-Konten mit Administratorenrechte Zugriff hat und schränken Sie den Kreis ein.
- Löschen von nicht mehr verwendeten Benutzerkonten: Auch Konten, die nicht mehr verwendet werden, sollten regelmässig überprüft und geschlossen werden.
- Systemübergreifende Backups: Ist es zum Schaden gekommen, ist es äusserst hilfreich, wenn all ihre Daten durch ein Backup vor Verlust geschützt sind. Eine unveränderliche Kopie der sensiblen Daten sollte immer offline vorhanden ein.
Sollte ein System bereits infiziert und die Daten weg sein, gehen Sie auf keinen Fall auf die Lösegeldforderungen der Cyberkriminellen ein. Lösegeldzahlungen garantieren nicht, dass Sie alle ihre verschlüsselten Daten wieder bekommen oder nicht doch Daten im Dark Web auftauchen.
Gewusst wie: Sicherheitslücken schliessen
Damit Unternehmen nicht Opfer von Ransomware- oder anderen Cyberattacken werden, müssen die Systemzugänge und auch die Daten abgesichert sein. Leider ist das in vielen Fällen noch nicht so, wie es sein sollte. Der Nevis Security-Barometer 2022 zeigt, dass knapp 10 Prozent der befragten IT-Verantwortlichen, keine Massnahmen für eine erhöhte IT-Sicherheit treffen. Da sich Malwares wie LockBit 3.0 aber stetig weiterentwickeln, müssen auch die Sicherheitsmassnahmen kontinuierlich angepasst und verbessert werden.
