Aktuelles, Branche - geschrieben von dp am Freitag, November 11, 2022 18:57 - noch keine Kommentare
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental
Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit
[datensicherheit.de, 11.11.2022] Der Cyber-Angriff auf den Dax-Konzern Continental sei nur eines von vielen einschlägigen Beispielen der Aktivitäten rund um die RaaS-Gruppe „LockBit“. Was es mit „LockBit 3.0“, der neuesten Version der Bedrohungsgruppe auf sich hat und wieso diese vor allem im Hinblick auf die DSGVO so kritisch ist, erläutert Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry, in seiner aktuellen Stellungnahme:
LockBit – eine Ransomware-as-a-Service-Gruppe
„LockBit“ sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. „Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie ,BlackMatter’ und ,DarkSide’ oder ,BlackCat’.
Diese hätten weltweit erhebliche finanzielle Schäden und sichtbare Beeinträchtigungen bei diversen Unternehmen verursacht. „Ausgehend von der bekannten Zuschreibung und historischen Threads stammt ,LockBit’ aus einer russischsprachigen Hacker-Gemeinschaft“, so Bestuzhev.
Neueste Version – LockBit 3.0 – auch LockBit Black genannt
Die neueste Version – „LockBit 3.0“ – werde auch als „LockBit Black“ bezeichnet: „,LockBit Black’ ist ein interner Name, den der dahinterstehende Bedrohungsakteur nach der Verschlüsslung aller Dateien in der Einschüchterungsnachricht mit der Lösegeldforderung verwendet.“ Als Teil des Einschüchterungsprogramms beziehe sich „LockBit 3.0“ stets auf die Datenschutz-Grundverordnung (DSGVO/GDPR).
„Dies betrifft besonders Opfer aus Westeuropa, wo die GDPR-Gesetzgebung gilt. Sie werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenzielle Kundenklagen Geld zu verlieren“, berichtet Bestuzhev. Ebenso werde der Zeitaufwand für die Wiederherstellung von Vorgängen in der Einschüchterungsnachricht angeführt.
Auch in den USA ansässige Organisationen sollten Bedrohung durch LockBit Beachtung schenken
Derzeit gebe es keine Möglichkeit, die Verschlüsselung zu knacken, um die Daten zu entschlüsseln. „Es ist jedoch immer wichtig, Sicherungskopien verschlüsselter Daten zu speichern, weil die Entschlüsselungs-Codes später im Rahmen der Zusammenarbeit mit internationalen Strafverfolgungsbehörden oder aus anderen Gründen auftauchen könnten.“
Bestuzhev erörtert die Frage, ob in den USA ansässige Organisationen der Bedrohung durch „LockBit“ ebenfalls Beachtung schenken sollten: „Die Antwort lautet: Ja! Und zwar wegen der möglichen Auswirkungen: Datenlecks und eine Geschäftsunterbrechung. Beides führt zu finanziellen Einbußen.“
Um sich vor RaaS-Kampagnen wie LockBit zu schützen, empfiehlt BlackBerry folgende Best Practices:
- Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
- Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
- Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
- Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
- Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
- Erweitern Sie Ihren Überblick auf all Ihre Assets.
- Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
- Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
- Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
- Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
- Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.
Weitere Informationen zum Thema:
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren