LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental

Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

[datensicherheit.de, 11.11.2022] Der Cyber-Angriff auf den Dax-Konzern Continental sei nur eines von vielen einschlägigen Beispielen der Aktivitäten rund um die RaaS-Gruppe „LockBit“. Was es mit „LockBit 3.0“, der neuesten Version der Bedrohungsgruppe auf sich hat und wieso diese vor allem im Hinblick auf die DSGVO so kritisch ist, erläutert Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry, in seiner aktuellen Stellungnahme:

LockBit – eine Ransomware-as-a-Service-Gruppe

„LockBit“ sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. „Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie ,BlackMatter’ und ,DarkSide’ oder ,BlackCat’.

Diese hätten weltweit erhebliche finanzielle Schäden und sichtbare Beeinträchtigungen bei diversen Unternehmen verursacht. „Ausgehend von der bekannten Zuschreibung und historischen Threads stammt ,LockBit’ aus einer russischsprachigen Hacker-Gemeinschaft“, so Bestuzhev.

Neueste Version – LockBit 3.0 – auch LockBit Black genannt

Die neueste Version – „LockBit 3.0“ – werde auch als „LockBit Black“ bezeichnet: „,LockBit Black’ ist ein interner Name, den der dahinterstehende Bedrohungsakteur nach der Verschlüsslung aller Dateien in der Einschüchterungsnachricht mit der Lösegeldforderung verwendet.“ Als Teil des Einschüchterungsprogramms beziehe sich „LockBit 3.0“ stets auf die Datenschutz-Grundverordnung (DSGVO/GDPR).

„Dies betrifft besonders Opfer aus Westeuropa, wo die GDPR-Gesetzgebung gilt. Sie werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenzielle Kundenklagen Geld zu verlieren“, berichtet Bestuzhev. Ebenso werde der Zeitaufwand für die Wiederherstellung von Vorgängen in der Einschüchterungsnachricht angeführt.

Auch in den USA ansässige Organisationen sollten Bedrohung durch LockBit Beachtung schenken

Derzeit gebe es keine Möglichkeit, die Verschlüsselung zu knacken, um die Daten zu entschlüsseln. „Es ist jedoch immer wichtig, Sicherungskopien verschlüsselter Daten zu speichern, weil die Entschlüsselungs-Codes später im Rahmen der Zusammenarbeit mit internationalen Strafverfolgungsbehörden oder aus anderen Gründen auftauchen könnten.“

Bestuzhev erörtert die Frage, ob in den USA ansässige Organisationen der Bedrohung durch „LockBit“ ebenfalls Beachtung schenken sollten: „Die Antwort lautet: Ja! Und zwar wegen der möglichen Auswirkungen: Datenlecks und eine Geschäftsunterbrechung. Beides führt zu finanziellen Einbußen.“

Um sich vor RaaS-Kampagnen wie LockBit zu schützen, empfiehlt BlackBerry folgende Best Practices:

• Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
• Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
• Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
• Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
• Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
• Erweitern Sie Ihren Überblick auf all Ihre Assets.
• Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
• Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
• Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
• Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
• Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.

Weitere Informationen zum Thema:

heise online, 11.11.2022
Continental-Einbruch: Lockbit-Cybergang fordert 50 Millionen US-Dollar / Für 50 Millionen US-Dollar bieten die Lockbit-Erpresser an, die Daten zu löschen oder auszuliefern, die sie beim DAX-Unternehmen Continental gestohlen haben