LockBit übernimmt Code von berüchtigten Ransomware-Gruppen BlackMatter und DarkSide

Laut den Cybersecurity-Experten von Kaspersky hat LockBit, eine der weltweit am häufigsten auftretenden Ransomware-Gruppen, vor kurzem seine Operationen mit verbesserten Multiplattform-Funktionen aufgerüstet. LockBit ist dafür bekannt, Unternehmen auf der ganzen Welt anzugreifen und erhebliche finanzielle und betriebliche Schäden zu verursachen. Der jüngste Bericht von Kaspersky zeigt die Entschlossenheit LockBits, ihre Reichweite zu vergrößern und die Auswirkungen ihrer schädlichen Aktivitäten zu maximieren.

Die Cybersicherheits-Community hat beobachtet, dass LockBit-Code von anderen berüchtigten Ransomware-Gruppen wie BlackMatter und DarkSide übernimmt. Dieser strategische Schritt vereinfacht nicht nur die Abläufe für potenzielle Partner, sondern erweitert auch die Palette der von LockBit eingesetzten Angriffsvektoren. Jüngste Ergebnisse der Kaspersky-Threat-Attribution-Engine (KTAE) [1] zeigen, dass LockBit etwa 25 Prozent des Codes übernommen hat, der zuvor von der inzwischen aufgelösten Conti-Ransomware-Gang verwendet wurde [2]. Dies führte zu einer neuen Variante namens LockBit Green.

Die Forscher von Kaspersky haben nun eine ZIP-Datei entdeckt, die LockBit-Samples enthält, die speziell auf mehrere Architekturen zugeschnitten sind, darunter Apple M1, ARM v6, ARM v7, FreeBSD und andere. Eine gründliche Analyse und Untersuchung mit KTAE bestätigte, dass diese Samples der zuvor beobachteten LockBit-Linux/ESXi-Version entstammen.

Während einige Beispiele, wie die MacOS-Variante, eine zusätzliche Konfiguration erfordern und nicht ordnungsgemäß signiert sind, ist es offensichtlich, dass LockBit seine Ransomware aktiv auf verschiedenen Plattformen testet. Dies weist auf eine bevorstehende Ausweitung der Angriffe hin und unterstreicht die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen auf allen Plattformen sowie einer erhöhten Sensibilisierung von Unternehmen diesbezüglich.

„LockBit ist eine äußerst aktive und berüchtigte Ransomware-Gruppe, die für ihre schweren Cyberangriffe auf Unternehmen weltweit bekannt ist“, erklärt Marc Rivero, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Mit seinen kontinuierlichen Infrastrukturverbesserungen und der Übernahme von Code anderer Ransomware-Gruppen stellt LockBit eine erhebliche und sich ständig weiterentwickelnde Bedrohung für Unternehmen jeglicher Branche dar. Um die von LockBit und ähnlichen Ransomware-Gruppen ausgehenden Risiken wirksam einzudämmen, müssen Unternehmen jetzt ihre Verteidigungsmaßnahmen verstärken, Sicherheitssysteme regelmäßig aktualisieren, Mitarbeiter über bewährte Verfahren im Bereich der Cybersicherheit aufklären und Protokolle für die Reaktion auf Vorfälle erstellen.“

LockBit: Was bisher geschah

In der Anfangsphase operierte LockBit ohne Leak-Portale, doppelte Erpressungstaktiken oder Datenexfiltration vor der eigentlichen Verschlüsselung der Daten der Betroffenen. Die Gruppe entwickelte jedoch ihre Infrastruktur und Sicherheitsmaßnahmen kontinuierlich weiter, um ihre Vermögenswerte vor unterschiedlichsten Bedrohungen zu schützen, darunter Angriffe auf ihre Administrationspanels und störende DDoS-Angriffe (Distributed-Denial of Service).

Kaspersky-Tipps zum Schutz gegen Ransomware:

  • Software auf allen verwendeten Geräten stets auf dem neuesten Stand halten, um Angreifer daran zu hindern, Schwachstellen auszunutzen und in das Netzwerk einzudringen.
  • Die Verteidigungsstrategie auf die Erkennung von Seitwärtsbewegungen und Datenlecks im Internet konzentrieren. Besonders auf den ausgehenden Datenverkehr achten, um Verbindungen von Cyberkriminellen zum Netzwerk zu erkennen. Offline-Backups einrichten, die von Eindringlingen nicht manipuliert werden können. Sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.
  • Ransomware-Schutz auf allen Endgeräten aktivieren. Das kostenfrei erhältliche Kaspersky Anti-Ransomware Tool for Business , schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
  • Anti-APT- und EDR-Lösungen installieren, die Funktionen für die fortschrittliche Erkennung von Bedrohungen, die Untersuchung und rechtzeitige Behebung von Vorfällen ermöglichen. Dem SOC-Team Zugang zu den neuesten Bedrohungsdaten ermöglichen und regelmäßig durch professionelle Schulungen weiterbilden. All dies ist im Rahmen von Kaspersky Expert Security [5] möglich.
  • Dem SOC-Team den Zugriff auf die neuesten Bedrohungsdaten (TI) [6] gewähren, beispielsweise über das Kaspersky-Threat-Intelligence Portal als zentralen Zugangspunkt zu Kasperskys TI. Dieses bietet Cyberangriffsdaten und Erkenntnisse aus über 20 Jahren Forschungstätigkeit. Kaspersky bietet hierfür aktuell einen kostenlosen Zugang an. Dieser kann über https://go.kaspersky.com/uchub#form angefordert werden.
Info: Weitere Informationen zu LockBits aktualisiertem Toolset unter https://securelist.com/crimeware-report-lockbit-switchsymb/110068/
#Kaspersky