Der Dax-Konzern Continental (Automobilzulieferer) ist kürzlich Opfer einer Ransomware der RaaS-Gruppe LockBit geworden (siehe Cyberangriff auf Continental und Richard Wolf Medizintechnik). Die Ransomware-Gang droht wohl mit der Veröffentlichung erbeuteter Daten. Dmitry Bestuzhev von Blackberry erläutert, was es mit der beim Angriff verwendeten LockBit 3.0 Ransomware, der neuesten Version der Bedrohungsgruppe, auf sich hat und wieso diese vor allem im Hinblick auf die DSGVO so kritisch ist. Ich stelle die Informationen einfach mal unkommentiert hier im Blog bereit.
Anzeige
LockBit ist eine Ransomware as a Service (RaaS) Gruppe, die von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen hat. Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie BlackMatter und DarkSide oder BlackCat. Diese haben weltweit erhebliche finanzielle Schäden und sichtbare Beeinträchtigungen bei diversen Unternehmen verursacht. Ausgehend von der bekannten Zuschreibung und historischen Threads stammt LockBit aus einer russischsprachigen Hacker-Gemeinschaft.
LockBit Black
Die neueste Version LockBit 3.0 wird auch als LockBit Black bezeichnet. LockBit Black ist ein interner Name, den der dahinterstehende Bedrohungsakteur nach der Verschlüsslung aller Dateien in der Einschüchterungsnachricht mit der Lösegeldforderung verwendet. Als Teil des Einschüchterungsprogramms bezieht sich LockBit 3.0 stets auf die Datenschutz-Grundverordnung (GDPR). Dies betrifft besonders Opfer aus Westeuropa, wo die GDPR-Gesetzgebung gilt. Sie werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenzielle Kundenklagen Geld zu verlieren. Ebenso wird der Zeitaufwand für die Wiederherstellung von Vorgängen in der Einschüchterungsnachricht angeführt.
Derzeit gibt es keine Möglichkeit, die Verschlüsselung zu knacken, um die Daten zu entschlüsseln. Es ist jedoch immer wichtig, Sicherungskopien verschlüsselter Daten zu speichern, weil die Entschlüsselungs-Codes später im Rahmen der Zusammenarbeit mit internationalen Strafverfolgungsbehörden oder aus anderen Gründen auftauchen könnten. Sollten in den USA ansässige Organisationen der Bedrohung durch LockBit ebenfalls Beachtung schenken? Die Antwort lautet Ja, und zwar wegen der möglichen Auswirkungen: Datenlecks und eine Geschäftsunterbrechung. Beides führt zu finanziellen Einbußen.
Best Practice als Schutz
Um sich vor RaaS-Kampagnen zu schützen, empfehlen die Sicherheitsexperten von Blackberry die folgenden Best Practices:
Anzeige
- Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
- Überprüfen Sie alle Konten und ihre Rechte. Entfernen sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
- Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
- Aktivieren Sie ein 24×7 SOC, das mit Sigma-, Suricata- und Yara-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
- Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
- Erweitern Sie Ihren Überblick auf all Ihre Assets.
- Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
- Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
- Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
- Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
- Führen Sie Purple-Teaming-Übungen auf der Grundlage von LockBit-TTPs durch, um Ihre Erkennungsfunktionen zu testen.
Ähnliche Artikel:
IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Ergänzung für EDR-Produkte
So finden Sie schwache Passwörter im Active Directory und beseitigen diese mit PowerShell
How to find weak passwords in Active Directory and eliminate them with PowerShell
Anzeige
Der Elefant im Raum: Hersteller der unsicheren Software, die all die extra Absicherung benötigt.