LockBit Ransomware-Angriffe entwickeln sich ständig weiter, indem sie eine breite Palette von Techniken nutzen, um Ziele zu infizieren und gleichzeitig Schritte zu unternehmen, um Endpunkt-Sicherheitslösungen zu deaktivieren.
„Die Partner, die die Dienste von LockBit nutzen, führen ihre Angriffe je nach Vorliebe durch und verwenden unterschiedliche Tools und Techniken, um ihr Ziel zu erreichen“, so die Cybereason-Sicherheitsanalysten Loïc Castel und Gal Romano. „Je weiter der Angriff in der Angriffskette fortschreitet, desto mehr nähern sich die Aktivitäten der verschiedenen Fälle an.
LockBit, das wie die meisten Gruppen mit einem Ransomware-as-a-Service (RaaS)-Modell arbeitet, wurde zum ersten Mal im September 2019 beobachtet und hat sich seither zum dominantesten Ransomware-Stamm in diesem Jahr entwickelt und andere bekannte Gruppen wie Conti, Hive und BlackCat überholt.
Dabei lizenzieren die Malware-Autoren den Zugang zu Partnern, die die Angriffe im Gegenzug für die Nutzung ihrer Tools und Infrastruktur ausführen und bis zu 80 % jeder erfolgreichen Lösegeldzahlung von den Opfern erhalten.
LockBit nutzt auch die beliebte Technik der doppelten Erpressung, um riesige Datenmengen zu erpressen, bevor die Vermögenswerte des Ziels verschlüsselt werden. Im Mai 2022 hatte das Cyberkriminellen-Syndikat nicht weniger als 850 Opfer auf seiner Datenleck-Seite.
Angriffslebenszyklus – Fallstudie 1
Angriffslebenszyklus – Fallstudie 2
Laut einer Leak-Site-Datenanalyse von Palo Alto Networks Unit 42 war LockBit im ersten Quartal 2022 für 46% aller Ransomware-Angriffe verantwortlich. Allein im Juni wurde die Gruppe mit 44 Angriffen in Verbindung gebracht, was sie zum aktivsten Ransomware-Stamm macht.
LockBit-Ransomware-Angriffe sind dafür bekannt, dass sie mehrere Wege zur Erstinfektion nutzen: Sie nutzen öffentlich zugängliche RDP-Ports aus, laden über Phishing-E-Mails bösartige Nutzdaten herunter oder machen sich ungepatchte Serverschwachstellen zunutze, über die die Angreifer Fernzugriff auf das Zielnetzwerk erhalten.
Im Anschluss an diesen Schritt folgen Aufklärungsaktivitäten und der Diebstahl von Zugangsdaten, die es den Akteuren ermöglichen, sich seitlich im Netzwerk zu bewegen, sich zu behaupten, ihre Rechte zu erweitern und die Ransomware zu starten. Dabei werden auch Befehle ausgeführt, um Backups zu löschen und die Erkennung durch Firewalls und Antivirensoftware zu umgehen.
In den drei Jahren, seit LockBit auf der Bildfläche erschienen ist, hat das RaaS-System zwei bemerkenswerte Upgrades erhalten: Im Juni 2021 stellten die Bedrohungsakteure LockBit 2.0 vor und brachten im letzten Monat die dritte Version des Dienstes, LockBit 3.0, auf den Markt, mit Unterstützung für die Kryptowährung Zcash und einem Bug Bounty-Programm – das erste für eine Ransomware-Gruppe.
Die Initiative bietet Belohnungen von bis zu 1 Million Dollar für das Auffinden von Sicherheitslücken in der Website und der Locker-Software, für das Einreichen brillanter Ideen, für das Doxen des Leiters des Partnerprogramms der Bande oder für das Aufspüren von Wegen, die die IP des Servers, der die Website im TOR-Netzwerk hostet, offenlegen könnten.
Das Bug-Bounty-Programm ist ein weiteres Zeichen dafür, dass Hackergruppen zunehmend als legitime IT-Unternehmen fungieren, die Personalabteilungen, regelmäßige Feature-Releases und sogar Prämien für die Lösung schwieriger Probleme einführen.
Es gibt jedoch Hinweise darauf, dass LockBit 3.0, auch LockBit Black genannt, von einer anderen Ransomware-Familie namens BlackMatter inspiriert ist, einer umbenannten Version von DarkSide, die im November 2021 geschlossen wurde.
„Große Teile des Codes sind direkt von BlackMatter/Darkside abgekupfert“, sagte Emsisoft-Forscher Fabian Wosar Anfang der Woche in einem Tweet. „Es ist wohl klar, dass LockBit die schmutzigen Hände am Code einer anderen Gruppe hatte.