LockBit 2.0 Ransomware-Angriffe nehmen weltweit zu

Sicherheitsforscher haben eine Zunahme von Angriffen mit der neuesten Version der LockBit-Ransomware mit neuen Opfern in Südamerika, Asien und Europa festgestellt.

Wir haben zuvor den LockBit 2.0-Angriff behandelt, der erfolgreich auf das große Beratungsunternehmen Accenture abzielte, wobei Angreifer laut einigen Analysten angeblich 50 Millionen US-Dollar Lösegeld forderten und angeblich etwa 6 TB an sensiblen Accenture-Daten stahlen. Das Beratungsunternehmen gab an, dass der Angriff keine nennenswerten Auswirkungen hatte, die Systeme schnell gesperrt wurden und die Auswirkungen minimal waren, da die Daten erfolgreich aus Backups wiederhergestellt wurden.

Die neuen Angriffe erfolgen nach dem Lösegeld-Hit auf Accenture. Forscher berichten von Angriffen auf Unternehmen in Taiwan, Großbritannien und Chile. Die neue Version der Ransomware verwendet Berichten zufolge eine verbesserte Multi-Thread-Verschlüsselung und verfügt über eine der schnellsten Verschlüsselungsmethoden auf dem Gebiet. Es scheint auch, dass LockBit 2.0 nur einen sehr kleinen Teil jeder verschlüsselten Datei verschlüsselt, wobei nur ein 4-Kilobyte-Stück jeder Datei verschlüsselt wird, was den Prozess erheblich beschleunigt.

Der Bedrohungsakteur hinter LockBit experimentiert auch mit neuen Social-Engineering-Taktiken. Die Hacker versuchen, die Mitarbeiter des Unternehmens zu durchdringen und sie zur Zusammenarbeit zu bestechen. Es gibt Berichte über Malware, die die Hintergrundbilder von Mitarbeitern verändert, Werbeauszahlungen in Millionenhöhe für Arbeitsanmeldeinformationen, die es den Hackern ermöglichen, die Zielorganisation zu infiltrieren.

Hat LockBit 2.0 seinen Weg in ein Netzwerk gefunden, steht ihm ein vielfältiges Arsenal an Tools zur Verfügung. Es gibt einen Netzwerkscanner, der Domänencontroller sowie eine Reihe von .bat-Dateien auswählt, die eine Vielzahl von Aufgaben automatisieren, darunter das Aktivieren von RDP, das Herunterfahren von Anti-Malware oder Sicherheitssoftware und das Leeren von Ereignisprotokollen, um die Schadsoftware zu minimieren Fußabdruck.

Nachdem LockBit seine grundlegenden Routinen eingerichtet hat, beginnt es, sich seitlich über das Opfernetzwerk zu bewegen, beginnend mit dem Senden neuer Gruppenrichtlinien an verbundene Geräte. Diese Richtlinien sorgen dafür, dass Windows Defender ausgeschaltet und dann die Nutzlast auf jedem gefundenen Windows-Gerät verteilt und ausgeführt wird.

Sobald die Verschlüsselung erfolgt ist, wird das Desktop-Image durch die oben beschriebene Rekrutierungsnachricht, die üblichen Lösegeldanweisungen und die Drohung, dass bereits verschlüsselte Dateien für die Öffentlichkeit freigegeben werden, ersetzt, falls kein Lösegeld gezahlt wird.

Forscher haben auch einige Ähnlichkeiten im Verhalten von LockBit 2.0 und anderen berüchtigten Ransomware-Stämmen wie Ryuk und Egregor entdeckt, was auf eine zumindest teilweise Überlappung des Codes hindeutet.