Erkennung von LockBit-Ransomware
Inhaltsverzeichnis:
Trotz seiner relativ neuen Rolle in der Cyberbedrohungswelt erlangte LockBit Ransomware schnell den Ruf eines produktiven und gefährlichen Malware-Stammes. In den Jahren 2020-2021 wurde LockBit konstant in die Liste der aktivsten und berüchtigtsten bösartigen Proben aufgenommen. Um dies zu erreichen, nutzen die LockBit-Betreiber ein Ransomware-as-a-Service (RaaS) Modell, um mehr Partner zu involvieren und Angriffe durchzuführen. Darüber hinaus wenden sie eine doppelte Erpressungstaktik an, um zusätzlichen Druck auf die Opfer auszuüben und die Chancen zu erhöhen, dass das Lösegeld gezahlt wird.
Was ist LockBit Ransomware?
Ursprünglich tauchte die LockBit Ransomware 2019 als “ABCD” Virus auf. Dieser Name resultierte aus der Dateierweiterung, die allen verschlüsselten Dateien hinzugefügt wurde. Seitdem hat die Malware ihr bösartiges Arsenal erheblich weiterentwickelt und die Erweiterung geändert zu .lockbit. Derzeit wird LockBit aktiv in Untergrundforen beworben, um neue Mitglieder für sein RaaS-Programm zu gewinnen. Im Jahr 2020 schätzten Forscher 75.000 $ die von LockBit-Verkäufern über ein Partnerprogramm verdient wurden.
Laut der Analyse von Coveware konzentriert sich LockBit auf mittelständische bis große Unternehmen sowie staatliche Einrichtungen. Dennoch haben die Ransomware-Betreiber ihren eigenen „moralischen Kodex“ und vermeiden es, Organisationen im Zusammenhang mit Gesundheitswesen, Gewerkschaften und Bildungseinrichtungen anzugreifen. Darüber hinaus beendet LockBit seine Aktivität, wenn die IP-Adresse der Zielmaschine im Commonwealth der Unabhängigen Staaten befindet. Der Grund dafür könnte der Ursprung des Entwicklers sein, der laut Interview mit dem Cisco Talos Team behauptet, in der sibirischen Region Russlands zu leben. Darüber hinaus zeigen Statistiken sehr hohe Raten bezahlter Datenwiederherstellung, die von kurzer Wiederherstellungszeit begleitet werden. Das bedeutet, dass Malware-Betreiber dazu tendieren, ihre Verpflichtungen einzuhalten, was angeblich ein wichtiger Teil des LockBit-Geschäftsmodells ist.
Dennoch gibt es keine Ehre unter Dieben, und LockBit zielt zunehmend auf große Unternehmen, um Gewinne zu erzielen. Der Hauptfokus liegt auf IT-Unternehmen, die in den USA und Europa tätig sind. Ransomware-Betreiber wenden erfolgreich die doppelte Erpressungspraxis an, indem sie sensible Daten vor der Verschlüsselung stehlen. Um die Opfer zur Zahlung des Lösegelds zu ermutigen, veröffentlichen die LockBit-Betreiber regelmäßig Datenlecks zusammen mit Informationen über die neuesten Angriffe auf einer speziellen Webseite. Prominente Medien sind ebenfalls involviert, um Aufruhr über das betroffene Unternehmen zu machen und die Aufmerksamkeit seiner Geschäftspartner auf den Vorfall zu lenken.
Coveware gibt an, dass ab Mai 2021 die durchschnittliche Lösegeldzahlung für LockBit-Opfer 57.600 $ beträgt. Dies korreliert jedoch normalerweise mit dem Umfang und der Größe des betroffenen Unternehmens und könnte viel größer sein.
LockBit Angriffsmethoden
LockBit nutzt eine Vielzahl ausgefeilter Methoden, um den Infektionsprozess voranzutreiben. Besonders hervorzuheben ist, dass es sich um einen sich selbst verbreitenden Malware-Stamm handelt, der nur wenige Stunden im Netzwerk benötigt, um sich über dieses zu verbreiten und alle zugänglichen Ressourcen zu verschlüsseln. Normalerweise verbringen Angreifer Tage oder Wochen damit, das Zielunternehmen zu untersuchen. LockBit verlässt sich stattdessen auf Automatisierung und nutzt den blitzschnellen Eindringmodus. Darüber hinaus führt die Malware während der Verschlüsselungsphase Erkundungen durch, um maximalen Schaden zu verursachen.
Um initialen Zugriff auf die Umgebung zu erhalten, verlässt sich LockBit normalerweise auf Phishing-E-Mails. Auch bekannte Schwachstellen und RDP-Server werden häufig zur Infektion genutzt. Danach geht die Ransomware in die Erkundungsphase über und nutzt dabei Werkzeuge wie Mimikatz, PowerShell und Cobalt Strike für Forschung und laterale Bewegung. SMB, ARP-Tabellen und PowerShell werden zur Ausbreitung verwendet. Schließlich wird LockBit typischerweise mit einem Windows Management Instrumentation (WMI) Befehl im Speicher ausgeführt und beginnt mit der Verschlüsselung. Unmittelbar danach wird eine Lösegeldforderung in mehreren Ordnern auf dem Host abgelegt.
LockBit-Erkennung
Um mögliche Infektionen zu verhindern und die Unternehmensinfrastruktur vor dieser berüchtigten Bedrohung zu schützen, können Sie ein Set von Sigma- und YARA-Regeln herunterladen, die von unseren Threat Bounty-Entwicklern im Threat Detection Marketplace veröffentlicht wurden.
Erkennung von LockBit Ransomware
Ransomware-Payload-Erkennung (LockBit)
Die vollständige Liste der Threat Detection Marketplace-Inhalte zur LockBit-Angriffs-Erkennung finden Sie hier.
Abonnieren Sie den Threat Detection Marketplace, eine branchenführende Content-as-a-Service (CaaS) Plattform, die den vollständigen CI/CD-Workflow für die Bedrohungserkennung ermöglicht, indem sie qualifizierte, herstellerübergreifende und werkzeugübergreifende SOC-Inhalte bereitstellt. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen und an Bedrohungsjagd-Initiativen teilnehmen? Treten Sie unserem Threat Bounty-Programm bei und werden Sie für Ihren Beitrag belohnt!
