NAKIVO > Bloggen

LockBit-Ransomware: Was Sie wissen müssen, um sich davor zu schützen

Veröffentlicht am: Februar 8, 2024

Written by: NAKIVO Team

<>LockBit ist nach wie vor eine der größten Bedrohungen für Unternehmen in der sehr vielfältigen Ransomware-Landschaft. In der ersten Hälfte des Jahres 2023 gab es mehr erfolgreiche LockBit-Angriffe als mit jeder anderen Ransomware-Familie, wobei BlackCat und Clop an zweiter und dritter Stelle folgten.

LockBit setzte seine erfolgreichen Angriffe auf weltweit führende Unternehmen und Regierungsbehörden im Laufe des Jahres 2023 fort. Im Oktober beispielsweise übernahm die LockBit-Gruppe die Verantwortung für einen Datenverstoß bei der kanadischen Regierung und gab an, dass 1,5 Terabyte an Archivdokumenten, darunter personenbezogene Daten von Staatsbeamten, gestohlen worden seien. Weitere prominente Opfer waren Boeing, die US-Niederlassung der ICBC (Chinas größte Bank) und das Verteidigungsministerium im Vereinigten Königreich.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Was ist LockBit Ransomware?

LockBit ist eine Art von Ransomware zur doppelten Erpressung, die von der gleichnamigen kriminellen Gruppe entwickelt wurde. Die ersten LockBit-Angriffe gehen auf das Jahr 2019 zurück. Die LockBit-Gruppe entwickelt und vermarktet die Ransomware an Partner auf Basis eines Ransomware-as-a-Service-Modells (RaaS) und teilt sich die Gewinne aus den erhaltenen Lösegeldzahlungen. Die rekrutierten Partner verwenden diese Ransomware, um Angriffe durchzuführen. Sie gilt als doppelte Erpressungs-Ransomware, da LockBit auch Daten exfiltriert und Cyberangreifer dann damit drohen, diese Daten auf Leak-Seiten zu veröffentlichen.

Die Entwicklung der LockBit-Ransomware

Die LockBit-Ransomware hat seit ihrer ersten Identifizierung als ABCD-Ransomware mehrere Iterationen durchlaufen und ist im Laufe ihrer Entwicklung immer ausgefeilter geworden. LockBit wird ständig verbessert, um geschützte Netzwerke zu infiltrieren und unentdeckt zu bleiben. Angreifer untersuchen aktiv Sicherheitssysteme, um Schwachstellen zu finden, und setzen Social Engineering und andere Techniken ein, um den Erfolg ihrer Angriffe sicherzustellen.

Werfen wir einen Blick auf die bisherigen Iterationen:

ABCD

ABCD war die erste Version der Ransomware der LockBit-Gruppe, die erstmals im September 2019 entdeckt wurde. Der Name spiegelt die .abcd Erweiterung wider, die den Dateien nach der Verschlüsselung hinzugefügt wurde. Diese Ransomware-Version erstellte außerdem in jedem Ordner mit verschlüsselten Daten eine Notizdatei mit dem Titel Restore-My-Files.txt . Die Datei beschreibt die Verfahren zur Zahlung des Lösegelds und zur Wiederherstellung der Daten.

LockBit

LockBit 1.0 oder einfach LockBit ist die zweite Version dieser Ransomware, die den verschlüsselten Dateien die Erweiterung .LockBit anstelle von .abcdhinzufügt. Diese Iteration unterscheidet sich in Bezug auf Design und Ausführung nicht wesentlich von der ABCD-Version. Es wurden nur wenige Änderungen am Backend-Code vorgenommen.

LockBit 2.0

LockBit 2.0, das erstmals im Juni 2021 in Aktion gesichtet wurde, wurde überarbeitet und aktualisiert, um eine ernsthaftere Bedrohung darzustellen. Diese Version nutzt den Advanced Encryption Standard (AES) und Algorithmen der elliptischen Kurvenkryptografie (ECC) zur Verschlüsselung von Daten. Angreifer verwenden Tools, die in den meisten Unternehmen von IT-Teams häufig eingesetzt werden, um bösartigen Code auszuführen und über Systeme zu verbreiten. In Version 2.0 verwendeten Hacker Windows Management Instrumentation (WMI)-Befehle, SMB-Protokollverbindungen und PowerShell-Tools.

LockBit 2.0 arbeitet offline, und nach der Infektion wird die Verschlüsselung unabhängig davon fortgesetzt, ob der Rechner mit einem Netzwerk verbunden ist oder nicht. Außerdem verfügt LockBit 2.0 über ein Admin-Kontrollpanel, das über einen TOR-Browser verfügbar ist und es Cyberkriminellen ermöglicht, ihre Angriffe zu verfolgen.

LockBit 3.0 alias LockBit Black

LockBit Black oder LockBit 3.0 war die weitere Version, die im Juni 2022 veröffentlicht wurde. Diese Version ist noch schwerer zu erkennen und modularer als ihre Vorgänger und bietet zusätzliche anpassbare Optionen, die bei der Kompilierung und Ausführung der Nutzlast verwendet werden können. Das Verhalten von LockBit Black kann nach der Ausführung mit zusätzlichen Argumenten weiter modifiziert werden. Darüber hinaus integriert diese Version Funktionen aus anderen Ransomware-Programmen wie Blackcat und Blackmatter.

LockBit 3.0-Partner müssen das richtige Passwort angeben, um die Ransomware auszuführen, d. h. die ausführbare Datei mit einem kryptografischen Schlüssel zu dekodieren. Durch dieses Schutzniveau kann LockBit 3.0 Malware-Scanner austricksen und verhindern, dass diese den Code analysieren.

Es ist schwierig, die ausführbaren Komponenten von LockBit 3.0 mit Antiviren- und Anti-Malware-Lösungen zu erkennen, die ein signaturbasiertes Erkennungsprinzip verwenden, da die verschlüsselte Komponente der ausführbaren Datei variiert. Diese Komponente verwendet einen kryptografischen Schlüssel für die Verschlüsselung und generiert gleichzeitig einen eindeutigen Hash. Nach der Eingabe des richtigen Passworts (d. h. der Schlüssel für die Entschlüsselung ist korrekt) wird der Hauptteil von LockBit 3.0 entschlüsselt. Anschließend wird der Code entschlüsselt und dekomprimiert, wodurch die weitere Ausführung der Ransomware ermöglicht wird.

LockBit Green

LockBit Green, freigegeben im Januar 2023, ist die fünfte LockBit-Version, die speziell auf Cloud-basierte Dienste ausgerichtet ist. Diese Generation hat ein neues Aussehen und eine Reihe von Funktionen und Funktionalitäten gegenüber den Vorgängerversionen. Allerdings enthält LockBit Green Code-Teile, die früher zu einer anderen Locker-Ransomware namens Conti gehörten, die derzeit nicht aktiv ist.

LockBit Ransomware-Dateierweiterungen

Nach der erfolgreichen Infizierung und Verschlüsselung ändert LockBit die Dateierweiterung der Originaldateien in eine der folgenden:

  • .abcd (ABC-Ransomware der vergangenen Generation)
  • .lockbit (LockBit und LockBit 2.0)
  • Eine zufällige 9-stellige Zeichenfolge (LockBit 3.0 und LockBit Green)

Die wichtigsten Phasen eines LockBit-Ransomware-Angriffs

Ein LockBit-Ransomware-Angriff verläuft in der Regel in drei Phasen:

  1. Einbruch. Angreifer umgehen die Sicherheit eines Unternehmens, indem sie Phishing-E-Mails versenden, sich als Führungskräfte ausgeben, um Anmeldeinformationen für Administratoren zu erhalten, Brute-Force-Angriffe auf interne Knoten und Netzwerke durchführen und andere Methoden anwenden. Auch Exploits für das Remote Desktop Protocol und öffentlich zugängliche Anwendungen werden aktiv genutzt.

    Sobald Angreifer LockBit in das Netzwerk des Unternehmens eingeschleust haben, schließen sie die Vorbereitungsphase ab, um die Reichweite und den Schaden des Ransomware-Angriffs zu vergrößern. Unternehmen mit einfachen, nicht segmentierten Netzwerken haben deutlich weniger Zeit, um auf einen Angriff zu reagieren.

  2. Infiltration. Der LockBit-Code beginnt mit der Teilnahme am Angriff. Das Skript führt von hier an alle Aktivitäten aus und nutzt Techniken zur Privilegienerweiterung, um den erforderlichen Zugriff zu erhalten. Anschließend deaktiviert die Ransomware interne Sicherheitsfirewalls sowie Lösungen zur Malware-Erkennung und -Benachrichtigung, um mehr Möglichkeiten für zerstörerische Aktionen zu erhalten und unter dem Radar des Sicherheitsteams zu bleiben.

    Das Hauptaugenmerk der Ransomware liegt hier darauf, so viele Daten wie möglich zu erreichen, um so den Schaden zu vergrößern und eine unabhängige Datenwiederherstellung zu verhindern.

    In dieser Phase kann die Lockbit-Ransomware die folgenden Aktionen durchführen, um das erforderliche Zugriffsniveau zu erreichen:

    • Beendigung von Diensten und Prozessen
    • Ausführung von Befehlen
    • Löschen von Protokolldateien

    LockBit 3.0 kann die Windows-Benutzerkontensteuerung (UAC) umgehen, indem es einen bösartigen Code mit erhöhten Berechtigungen unter Verwendung des Component Object Model ausführt, zum Beispiel:

    %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

    Lockbit löscht Schattenkopien von Windows Management Instrumentation (WMI). Erster Schritt der Ransomware: Abfrage von Schattenkopien und Identifizierung:

    select * from Win32_ShadowCopy

    Anschließend löscht die Ransomware Schattenkopien mit DeleteInstance.

    Dienste mit diesen Namen werden von der LockBit-Ransomware beendet: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD und GxCIMgr.

    Die folgenden Prozesse werden beendet: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad und notepad.

    Nach dem Beenden der Prozesse können die zuvor von diesen Prozessen geöffneten Dateien geändert oder gelöscht werden.

  3. Bereitstellung. Diese Phase beginnt, wenn Angreifer die Infrastruktur einer Organisation für ausreichend geschwächt halten, um mit der Verschlüsselung zu beginnen. Der kompromittierte Systemknoten mit den erforderlichen Berechtigungen weist dann andere Workloads im Netzwerk an, den Malware-Code herunterzuladen und auszuführen.

    Die LockBit-Angreifer können StealBit verwenden, um interessante Daten zu exfiltrieren, bevor diese verschlüsselt werden. Das Potenzial eines Datenlecks ist ein weiterer Bestandteil der LockBit-Ransomware-Angriffe.

    Danach werden die Daten auf den erreichbaren Knoten verschlüsselt, und LockBit fügt jedem Ordner eine .txt-Datei mit Zahlungsanweisungen hinzu. Das typische Namensformat der .txt-Dateien lautet: RansomwareID.README.txt.

Eine der beunruhigendsten Funktionen von LockBit ist die Selbstverbreitung, die Angreifern die Arbeit erleichtert und Angriffe im Allgemeinen beschleunigt. Nachdem sich ein Hacker Administratorzugriff auf die Umgebung eines Unternehmens verschafft hat, muss er nur noch die Ransomware starten, den Rest erledigt der Code, um die ausführbaren Dateien von LockBit an andere erreichbare Hosts zu übertragen.

Die Entschlüsselung verschlüsselter Dateien ist nur möglich, nachdem die Forderungen der Hacker erfüllt wurden und das proprietäre Tool von den Entwicklern von LockBit erhalten wurde. Wie oben erwähnt, wäre ein weiterer Grund für die Erfüllung der Forderungen, die öffentliche Weitergabe sensibler oder persönlicher Daten zu verhindern.

Anzeichen einer LockBit-Infektion

Die Lockbit-Ransomware ändert Registrierungswerte, darunter auch die Werte, die für die Bearbeitung und Aktualisierung der Gruppenrichtlinie zuständig sind. Der Befehl zum Aktualisieren der Gruppenrichtlinien nach Änderungen von LockBit lautet:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

Zu den Anzeichen für eine Lockbit-Infektion in der Registrierung können gehören:

  • Ransomware-Symbol:

    HKCR.

    HKCRDefaultIcon

    mit dem Wert, der mit

  • Ransomware-Desktop-Hintergrundbild:

    HKCUControlPanelDesktopWallPaper

    mit dem Wert C:ProgramData.bmp

  • Aktivieren der automatischen Windows-Anmeldung:

    SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon mit den entsprechenden Werten

    AutoAdminLogon 1

    DefaultUserName

    DefaultDomainName

Beachten Sie die Pfade, in denen Ransomware ihre Dateien ablegt:

  • ADMIN$TempLockBit3.0_Filename.exe
  • %SystemRoot%TempLockBit3.0_Filename.exe
  • Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (auf einem Domänencontroller)

So schützen Sie Daten vor der LockBit-Bedrohung

Der Schutz Ihrer Systeme vor Ransomware und Malware im Allgemeinen umfasst zwei Aspekte:

  1. Sicherheitsmaßnahmen, d. h. der Versuch, eine Infektion von vornherein zu verhindern
  2. Datensicherheit: Wiederherstellen nach einem Vorfall mit minimalem Datenverlust und minimaler Ausfallzeit – ohne Lösegeld zu zahlen

Schauen wir uns diese Punkte einmal in Details an.

Sicherheitsmaßnahmen

  • Aktualisieren Sie regelmäßig Betriebssystem, Software und Firmware , da veraltete Komponenten Schwachstellen aufweisen können, die Hacker ausnutzen können, um Ransomware in Ihre Infrastruktur einzuschleusen. Entwickler neigen dazu, solche aufgedeckten Hintertüren und Sicherheitslücken schnell zu schließen, um ihre Kunden zu schützen.
  • Die Netzwerksegmentierung anwenden um das Netzwerk Ihres Unternehmens in separate Bereiche zu unterteilen. Ein Eindringling, der das segmentierte Netzwerk zum ersten Mal scannt, weiß nicht, welche Daten sich in welchem Segment befinden. Daher benötigt ein Hacker möglicherweise erheblich mehr Zeit und Aufwand für die Aufklärung und ein effektives Eindringen. Obwohl dies speziell für LockBit nicht der Fall zu sein scheint, könnten einige Cyberkriminelle, die andere Versionen von Ransomware verwenden, sich dafür entscheiden, eine Organisation mit einem sicheren segmentierten Netzwerk nicht anzugreifen.
  • Deaktivieren Sie ungenutzte Ports in Ihrem Netzwerk. Ein offener Port ist lediglich eine zusätzliche Schwachstelle, die ein Angreifer nutzen kann, um sich unbefugten Zugriff auf interne Knoten zu verschaffen und einen Angriff durchzuführen.
  • Überwachen Sie Netzwerke auf Verhaltensauffälligkeiten mithilfe aktiver Überwachungslösungen für Netzwerke und Knoten. Dadurch können Sie Ihre Situationserkennung zu jedem Zeitpunkt erheblich verbessern. Neben der Möglichkeit, gründliche Tests durchzuführen und Engpässe in der Netzwerkbandbreite zu beseitigen, sobald diese auftreten, hilft die aktive Überwachung dabei, Schwachstellen schnell zu erkennen. Schnelle Reaktionszeiten können Ihnen helfen, die Folgen eines Angriffs zu mildern oder sogar die Verbreitung von Malware zu verhindern.
  • Verwenden Sie Antivirenprogramme mit Echtzeit-Bedrohungserkennung. Trotz der Gemeinsamkeiten mit Überwachungslösungen bieten Ihnen Antivirenlösungen neben der Netzwerküberwachung auch Funktionen zur Geräteüberwachung, einschließlich Servern und Arbeitsstationen.

    Es stimmt zwar, dass LockBit heimtückisch ist und Malware-Scanner austricksen kann, aber Hacker können auch andere, weniger heimliche Tools einsetzen, um ihre Angriffe vorzubereiten und durchzuführen. Ein aktiver Echtzeit-Virenschutz benachrichtigt Sie, sobald in der Umgebung eines Unternehmens etwas schief läuft.

  • Integrieren Sie Anti-Phishing-Lösungen , um den Social-Engineering-Techniken entgegenzuwirken, mit denen LockBit-Partner die Sicherheit eines Unternehmens gefährden. Durch Deaktivieren von E-Mail-Hyperlinks und Hinzufügen von Warnbannern für E-Mails von außerhalb einer Organisation können Sie das Risiko verringern, dass ein unaufmerksames Teammitglied auf einen Phishing-Link klickt.

Strategien zur Datensicherheit

Da sich LockBit unbemerkt einschleusen und Tools zur Überwachung von Bedrohungen austricksen kann, benötigen Sie eine zweite Verteidigungslinie, um sicherzustellen, dass Sie nach einem tatsächlichen Vorfall mit Ransomware wiederherstellen können. Ihr Plan zur Reaktion auf Vorfälle sollte eine Strategie zum Backup und zur Disaster Recovery enthalten.

Erstellen Sie einen Plan für die Datensicherheit.

  • Identifizieren Sie kritische VMs und Anwendungen. Um Datenverluste zu vermeiden, die Verfügbarkeit aufrechtzuerhalten und die Compliance auch nach einem Ransomware-Angriff sicherzustellen, sollten Sie Ihre Maschinen durch Backups und Replikationen schützen. Der erste Schritt einer Strategie zur Datensicherheit besteht darin, eine Bestandsaufnahme der kritischen Daten und Maschinen vorzunehmen, die für die Geschäftskontinuität erforderlich sind . Der weitere Schritt besteht darin, die Kritikalität jedes einzelnen Computers zu bestimmen, um die Häufigkeit von Backups, Aufbewahrungsrichtlinien und Ziele der Wiederherstellung festzulegen.
  • Definieren Sie geschäftliche RPOs und RTOs. Wenn Sie genau wissen, wo sich Ihre kritischen Daten befinden, können Sie für jeden Typ von Produktionsmaschine das richtige Ziel der Wiederherstellungspunkte (RPO) und das richtige Wiederherstellungszeit-Ziel (RTO) festlegen. RPO und RTO beziehen sich auf die maximale Datenverlustmenge und Ausfallzeit, die Ihr Unternehmen tolerieren kann.
  • Legen Sie einen Plan für Tests zur Datensicherheit fest. Führen Sie regelmäßige Backups und DR-Strategietests durch und stellen Sie sicher, dass jedes Teammitglied seine Rolle in der Phase der Wiederherstellung versteht. Der ungünstigste Zeitpunkt, um festzustellen, dass Ihre Daten nicht wiederherstellbar sind, ist dann, wenn die Originaldaten bereits verloren gegangen oder verschlüsselt sind.

Befolgen Sie die 3-2-1-1-Regel zum Backup.

  • Behalten Sie so viele Datenkopien wie möglich. Legen Sie die Anzahl der zu erstellenden Backups und die Aufbewahrungsrichtlinie fest, je nachdem, wie wichtig ein Gerät oder eine Anwendung ist. Um die besten Chancen für eine Wiederherstellung zu haben, wenden Sie die 3-2-1-Sicherungsstrategie an: Erstellen Sie jederzeit mindestens drei (3) Kopien Ihrer Daten: die Primärdaten und zwei Backupkopien. Zweitens: Speichern Sie Daten auf zwei (2) verschiedenen Medientypen. Drittens: Behalten Sie eine (1) Kopie außerhalb des Standorts, um die Wiederherstellung im Falle einer Katastrophe an Ihrem Produktionsstandort sicherzustellen.
  • Schützen Sie Backups vor Ransomware. Angreifer sind für Backup-Daten ebenso eine Bedrohung wie für Produktionsmaschinen. Aus diesem Grund wurde die Backup-Regel mittlerweile um eine zusätzliche unveränderliche Kopie erweitert. Die Unveränderlichkeit nutzt das Write-Once-Read-Many-Modell, um Daten vor Beschädigung, Verschlüsselung und Löschung zu schützen. Das bedeutet, dass neue Ransomware-Angriffe diese Daten nicht manipulieren können und eine unveränderliche Kopie zur Wiederherstellung verwendet werden kann, wenn die Produktionsdaten nicht zugänglich sind.

Verwendung der Lösung für Datensicherheit von NAKIVO

Mit einer speziellen Lösung für Datensicherheit können Sie Datenschutzprozesse automatisieren, um eine Überlastung Ihrer Ressourcen zu vermeiden und Lücken in der Aufbewahrung zu verhindern. NAKIVO Backup & Replikation & Replication ist eine umfassende Lösung für Datensicherheit, die virtuelle, physische, Cloud-, SaaS-Workloads und hybride Infrastrukturen unterstützt. Durch die Implementierung der Lösung von NAKIVO erhalten Sie über die Weboberfläche vollständige Kontrolle und Transparenz über Ihre Infrastruktur für Datensicherheit, unabhängig von den verwendeten Plattformen: VMware vSphere, Microsoft Hyper-V, Windows, Linux, Microsoft 365 usw.

Die Lösung bietet außerdem alle Funktionen, die zum Anwenden der 3-2-1-1-Regel erforderlich sind, einschließlich Unveränderlichkeit und Backup-Daten-Tiering:

  • Unveränderlichkeit von Backups, die an die Cloud (Amazon S3, Wasabi, Backblaze B2 und andere S3-kompatible Plattformen) gesendet werden, lokaler Speicher auf Linux-Basis (einschließlich NAS-Geräten)
  • Automatisierung von Backupkopien mit Auftrag-Chaining, damit Sie den Speicher durch automatisierte Workflows mit Offsite- und Band-Backups diversifizieren können
  • Sicherheitsfunktionen zur Sicherheit vor unbefugtem Zugriff, darunter Zwei-Faktor-Authentifizierung (2FA) und rollenbasierte Zugriffskontrollen (RBAC), mit denen Sie das Prinzip der geringsten Privilegien (PoLP) anwenden und die Zugriffsberechtigungen von Teammitgliedern entsprechend ihrer Aufgaben in Ihrem Unternehmen einschränken können
  • Integrierte DR-Funktionen wie Echtzeit-Replikation und Standortwiederherstellung können Ihnen dabei helfen, RPOs von 1 Sekunde und engste RTOs zu erreichen
  • Umfassende und granulare Optionen für die Wiederherstellung bieten Ihnen die Flexibilität, genau das, was Sie benötigen, in kürzester Zeit wiederherzustellen.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
Die besten Tipps zum Speichern von Microsoft 365-E-Mails auf dem Desktop
Picture
So sichern Sie S3-Objekte mit Amazon S3 Verschlüsselung
Picture
3-2-1-Backup-Regel: Implementierung einer effizienten Datensicherheit