LockBit-Ransomware-Akteure haben seit 2020 über 90 Millionen US-Dollar verdient

LockBit, ein berüchtigtes Ransomware-as-a-Service (RaaS)-Unternehmen, hat es seit 2020 durch Hunderte von Angriffen geschafft, unglaubliche 91 Millionen US-Dollar von verschiedenen US-Organisationen zu erpressen. Ein gemeinsames Bulletin, das von mehreren internationalen Behörden veröffentlicht wurde, darunter der US Cybersecurity and Infrastructure Security Agency (CISA) und das FBI geben Aufschluss über das Ausmaß des durch LockBit verursachten Schadens.

Aus dem Bulletin geht hervor, dass LockBit als RaaS fungiert und Partner dazu verleitet, über ihre Plattform Ransomware-Angriffe durchzuführen. Dies hat zu einem Netzwerk unterschiedlicher Bedrohungsakteure geführt, die verschiedene Arten von Angriffen ausführen. LockBit, das Ende 2019 auf den Markt kam, hat seinen disruptiven und produktiven Charakter beibehalten. Statistiken von Malwarebytes zufolge hatte es allein im Mai 2023 bis zu 76 Opfer im Visier. Die Ransomware-Bande, von der angenommen wird, dass sie Verbindungen zu Russland hat, bekannte sich bisher zu über 1.653 Ransomware-Angriffen.

LockBit hat keinen kritischen Infrastruktursektor verschont und zielt auf Branchen wie Finanzen, Landwirtschaft, Bildung, Energie, Regierung, Gesundheitswesen, Fertigung und Transport ab. Es wurde erheblich verbessert, darunter LockBit Red im Juni 2021, LockBit Black im März 2022 und LockBit Green im Januar 2023, wobei letzteres auf durchgesickertem Quellcode der zerschlagenen Conti-Bande basiert. Die Ransomware hat ihre Reichweite auch auf Linux-, VMware ESXi- und Apple macOS-Systeme ausgeweitet, was sie zu einer sich ständig weiterentwickelnden Bedrohung macht.

Das Geschäftsmodell von LockBit besteht darin, seine Ransomware-Tools an verbundene Unternehmen zu vermieten, die die Angriffe und Erpressungen durchführen. Ungewöhnlich ist, dass die Gruppe ihren Partnern erlaubt, Lösegeldzahlungen direkt zu erhalten, bevor sie einen Teil mit den Kernentwicklern teilen.

LockBit nutzt verschiedene Schwachstellen aus

Die von LockBit orchestrierten Angriffe haben Schwachstellen in verschiedenen Systemen ausgenutzt, darunter kürzlich bekannt gewordene Schwachstellen in Fortra GoAnywhere Managed File Transfer (MFT) und PaperCut MF/NG-Servern. Darüber hinaus wurden bekannte Schwachstellen in Apache Log4j2, F5 BIG-IP und BIG-IQ sowie Fortinet-Geräten für den Erstzugriff ausgenutzt.

LockBit-Partner haben über drei Dutzend Freeware- und Open-Source-Tools genutzt, um Netzwerkaufklärung durchzuführen, Fernzugriff einzurichten, Anmeldedaten-Dumps durchzuführen und Dateien zu exfiltrieren. Insbesondere wurde bei diesen Angriffen auch legitime Red-Team-Software wie Metasploit und Cobalt Strike missbraucht.

Der Erfolg von LockBit ist auf seine ständige Innovation zurückzuführen, insbesondere auf sein benutzerfreundliches Verwaltungspanel, das den Einsatz von Ransomware für Personen mit begrenzten technischen Kenntnissen vereinfacht. Die Gruppe überarbeitet kontinuierlich ihre Taktiken, Techniken und Verfahren (TTPs), um an der Spitze zu bleiben.

Als Reaktion auf die Bedrohung erließ die CISA eine verbindliche operative Richtlinie, die Bundesbehörden anweist, Netzwerkgeräte, die dem öffentlichen Internet ausgesetzt sind, zu sichern und die Angriffsfläche zu minimieren. Ziel dieser Richtlinie ist es, das Risiko zu verringern, dass Bedrohungsakteure Netzwerkgeräte nutzen, um uneingeschränkten Zugriff auf Unternehmensnetzwerke zu erhalten.

Darüber hinaus wurden in einer kürzlich veröffentlichten Empfehlung die potenziellen Risiken im Zusammenhang mit Baseboard Management Controller (BMC)-Implementierungen hervorgehoben, die Bedrohungsakteuren einen Halt und Möglichkeiten zur Ausführung vor dem Start bieten könnten.