Aktuelles, Branche - geschrieben von dp am Freitag, November 11, 2022 18:57 - noch keine Kommentare
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental
Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit
[datensicherheit.de, 11.11.2022] Der Cyber-Angriff auf den Dax-Konzern Continental sei nur eines von vielen einschlägigen Beispielen der Aktivitäten rund um die RaaS-Gruppe „LockBit“. Was es mit „LockBit 3.0“, der neuesten Version der Bedrohungsgruppe auf sich hat und wieso diese vor allem im Hinblick auf die DSGVO so kritisch ist, erläutert Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry, in seiner aktuellen Stellungnahme:
LockBit – eine Ransomware-as-a-Service-Gruppe
„LockBit“ sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. „Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie ,BlackMatter’ und ,DarkSide’ oder ,BlackCat’.
Diese hätten weltweit erhebliche finanzielle Schäden und sichtbare Beeinträchtigungen bei diversen Unternehmen verursacht. „Ausgehend von der bekannten Zuschreibung und historischen Threads stammt ,LockBit’ aus einer russischsprachigen Hacker-Gemeinschaft“, so Bestuzhev.
Neueste Version – LockBit 3.0 – auch LockBit Black genannt
Die neueste Version – „LockBit 3.0“ – werde auch als „LockBit Black“ bezeichnet: „,LockBit Black’ ist ein interner Name, den der dahinterstehende Bedrohungsakteur nach der Verschlüsslung aller Dateien in der Einschüchterungsnachricht mit der Lösegeldforderung verwendet.“ Als Teil des Einschüchterungsprogramms beziehe sich „LockBit 3.0“ stets auf die Datenschutz-Grundverordnung (DSGVO/GDPR).
„Dies betrifft besonders Opfer aus Westeuropa, wo die GDPR-Gesetzgebung gilt. Sie werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenzielle Kundenklagen Geld zu verlieren“, berichtet Bestuzhev. Ebenso werde der Zeitaufwand für die Wiederherstellung von Vorgängen in der Einschüchterungsnachricht angeführt.
Auch in den USA ansässige Organisationen sollten Bedrohung durch LockBit Beachtung schenken
Derzeit gebe es keine Möglichkeit, die Verschlüsselung zu knacken, um die Daten zu entschlüsseln. „Es ist jedoch immer wichtig, Sicherungskopien verschlüsselter Daten zu speichern, weil die Entschlüsselungs-Codes später im Rahmen der Zusammenarbeit mit internationalen Strafverfolgungsbehörden oder aus anderen Gründen auftauchen könnten.“
Bestuzhev erörtert die Frage, ob in den USA ansässige Organisationen der Bedrohung durch „LockBit“ ebenfalls Beachtung schenken sollten: „Die Antwort lautet: Ja! Und zwar wegen der möglichen Auswirkungen: Datenlecks und eine Geschäftsunterbrechung. Beides führt zu finanziellen Einbußen.“
Um sich vor RaaS-Kampagnen wie LockBit zu schützen, empfiehlt BlackBerry folgende Best Practices:
- Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
- Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
- Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
- Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
- Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
- Erweitern Sie Ihren Überblick auf all Ihre Assets.
- Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
- Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
- Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
- Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
- Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.
Weitere Informationen zum Thema:
Aktuelles, Experten - Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
weitere Beiträge in Experten
- 5 Jahre DSGVO: Professor Kelber zieht positives Fazit
- Cyber-Angriffe bewältigen: it’s.BB e.V lädt zur Awareness-Veranstaltung am 24. Mai 2023 ein
- Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung in überarbeiteter Auflage erschienen
- Keine Scheu mehr vor der Öffentlichkeit: Cyber-Kriminalität, das Dark Net und Telegram
- EU Chips Act: Europäisches Parlament und Europäischer Rat erzielten vorläufige Einigung
Aktuelles, Branche - Mai 31, 2023 13:36 - noch keine Kommentare
5 Jahre DSGVO mahnen zum Verzicht auf löchrige Schutzschilde
weitere Beiträge in Branche
- Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung
- Android-Malware ab Werk nach Kontrollverlust in der Lieferkette
- Tipps zum Website-Check auf Datenschutzkonformität
- Avanan warnt vor Betrug per E-Mail mittels Missbrauch legitimer Dienste
- Lookout zu Textnachrichten: Die drei wichtigsten Warnhinweise
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren