Was ist LockBit 3.0 Ransomware? Was tun, um es zu verhindern?

Diebstahl, Erpressung und Identitätsdiebstahl sind online weit verbreitet und jeden Monat werden Tausende von Menschen Opfer verschiedener Betrügereien und Angriffe. Eine dieser Angriffsmethoden verwendet eine Art Ransomware namens LockBit 3.0. Woher kommt diese Ransomware, wie wird sie eingesetzt und was können Sie tun, um sich zu schützen?

Woher kommt LockBit 3.0?

LockBit 3.0

LockBit 3.0 (auch bekannt als LockBit Black) ist eine Ransomware-Familie, die aus der LockBit-Ransomware-Familie hervorgegangen ist. Hierbei handelt es sich um eine Gruppe von Ransomware-Programmen, die erstmals im September 2019 entdeckt wurden, nachdem die erste Angriffswelle stattgefunden hatte. Ursprünglich hieß LockBit „.abcd-Virus“, aber zu diesem Zeitpunkt war nicht bekannt, dass die Entwickler und Benutzer von LockBit weiterhin neue Versionen des ursprünglichen Ransomware-Programms erstellen würden.

Die Ransomware-Familie von LockBit verbreitet sich, aber nur bestimmte Opfer werden ins Visier genommen – vor allem diejenigen, die es sich leisten können, ein hohes Lösegeld zu zahlen. Diejenigen, die die LockBit-Ransomware verwenden, erwerben oft einen RDP-Zugriff (Remote Desktop Protocol) im Dark Web , um aus der Ferne und einfacher auf die Geräte der Opfer zugreifen zu können.

Die Betreiber von LockBit haben seit dem ersten Einsatz mehrere Organisationen auf der ganzen Welt ins Visier genommen, darunter Großbritannien, die USA, die Ukraine und Frankreich. Diese Schadprogrammfamilie nutzt ein Ransomware-as-a-Service (RaaS)-Modell, bei dem Benutzer Betreiber dafür bezahlen können, Zugang zu einer bestimmten Art von Ransomware zu erhalten. Dies beinhaltet in der Regel eine Form der Registrierung. Manchmal können Benutzer sogar die Statistiken überprüfen, um zu sehen, ob der Einsatz der LockBit-Ransomware erfolgreich war oder nicht.

Erst 2021 wurde LockBit durch LockBit 2.0 (den Vorgänger der aktuellen Ransomware-Variante) zu einer beliebten Ransomware. Zu diesem Zeitpunkt entschieden sich die Banden, die diese Ransomware nutzten, für ein duales Erpressungsmodell. Dies umfasst sowohl die Verschlüsselung als auch die Exfiltration (oder Übertragung) der Dateien des Opfers auf ein anderes Gerät. Diese zusätzliche Angriffsmethode macht die gesamte Situation für die angegriffene Person oder Organisation noch beängstigender.

Der zuletzt identifizierte Typ der LockBit-Ransomware ist LockBit 3.0. Wie funktioniert LockBit 3.0 und wie wird es heute verwendet?

Was ist LockBit 3.0?

LockBit 3.0 kann alle Dateien auf dem infizierten Gerät verschlüsseln und exfiltrieren

Im späten Frühjahr 2022 wurde eine neue Version der LockBit-Ransomware-Gruppe entdeckt: LockBit 3.0. Als Ransomware-Programm kann LockBit 3.0 alle Dateien auf einem infizierten Gerät verschlüsseln und exfiltrieren, sodass Angreifer die Daten des Opfers als Geiseln halten können, bis das geforderte Lösegeld gezahlt ist. Diese Ransomware ist derzeit weit verbreitet und bereitet große Sorgen.

Der Ablauf eines typischen LockBit 3.0-Angriffs ist:

1. LockBit 3.0 infiziert das Gerät des Opfers, verschlüsselt Dateien und hängt die verschlüsselte Dateierweiterung „HLjkNskOq“ an.

2. Anschließend wird ein Befehlszeilenargumentschlüssel namens „-pass“ benötigt , um die Verschlüsselung durchzuführen.

3. LockBit 3.0 erstellt viele verschiedene Threads, um mehrere Aufgaben gleichzeitig auszuführen, sodass die Datenverschlüsselung in kürzerer Zeit abgeschlossen werden kann.

4. LockBit 3.0 entfernt bestimmte Dienste oder Funktionen, um den Verschlüsselungs- und Filterprozess erheblich zu vereinfachen.

5. Eine API wird verwendet, um den Datenbankzugriff des Service Control Managers zu steuern.

6. Der Computerhintergrund des Opfers wird geändert, damit es weiß, dass es angegriffen wird.

Wenn Opfer das Lösegeld nicht innerhalb der vorgegebenen Frist zahlen, verkaufen LockBit 3.0-Angreifer die im Dark Web gestohlenen Daten an andere Cyberkriminelle. Dies kann sowohl für das Opfer als auch für die Organisation katastrophale Folgen haben.

Zum Zeitpunkt des Verfassens dieses Artikels nutzt LockBit 3.0 vor allem Windows Defender aus, um Cobalt Strike bereitzustellen . Diese Software kann auch eine Kette von Malware-Infektionen über mehrere Geräte hinweg verursachen.

Während dieses Vorgangs wird das Befehlszeilentool MpCmdRun.exe ausgenutzt, damit der Angreifer entschlüsseln und Warnungen ausgeben kann. Dies geschieht, indem das System dazu verleitet wird, eine schädliche DLL (Dynamic-Link Library) zu priorisieren und zu laden.

Die ausführbare Datei MpCmdRun.exe wird von Windows Defender verwendet , um nach Malware zu suchen und so das Gerät vor schädlichen Dateien und Programmen zu schützen. Cobalt Strike kann die Sicherheitsmaßnahmen von Windows Defender umgehen und ist daher für Ransomware-Angreifer sehr nützlich.

Diese Technik wird auch als Sideloading bezeichnet und ermöglicht es Angreifern, Daten von infizierten Geräten zu stehlen.

Wie kann man die LockBit 3.0-Ransomware verhindern?

LockBit 3.0 ist ein wachsendes Problem, insbesondere bei großen Organisationen mit vielen Daten, die verschlüsselt und exfiltriert werden können. Es ist wichtig, sicherzustellen, dass Sie diese Art gefährlicher Angriffe vermeiden.

Dazu sollten Sie zunächst sicherstellen, dass Sie für alle Ihre Konten supersichere Passwörter und eine Zwei-Faktor-Authentifizierung verwenden. Diese zusätzliche Sicherheitsebene kann es Cyberkriminellen erschweren, Sie mit Ransomware anzugreifen. Betrachten Sie beispielsweise Ransomware-Angriffe über das Remotedesktopprotokoll. In einem solchen Fall durchsucht der Angreifer das Internet nach anfälligen RDP-Verbindungen. Wenn Ihre Verbindung also passwortgeschützt ist und 2FA verwendet, ist die Wahrscheinlichkeit, dass Sie ins Visier genommen werden, deutlich geringer.

Darüber hinaus sollten Sie das Betriebssystem und das Antivirenprogramm Ihres Geräts stets auf dem neuesten Stand halten. Software-Updates können zeitaufwändig und nervig sein, aber es gibt einen Grund dafür, warum es sie gibt. Solche Updates beinhalten häufig Fehlerbehebungen und zusätzliche Sicherheitsfunktionen, um Ihr Gerät und Ihre Daten zu schützen. Verpassen Sie also nicht die Gelegenheit, Ihr Gerät zu aktualisieren.

Eine weitere wichtige Maßnahme zur Vermeidung von Ransomware-Angriffen ist die Sicherung von Dateien. Manchmal halten Ransomware-Angreifer aus verschiedenen Gründen wichtige Informationen zurück, die Sie benötigen, sodass ein Backup den Schaden in gewissem Maße mindern kann. Offline-Kopien, wie sie beispielsweise auf USB-Sticks gespeichert sind, können von unschätzbarem Wert sein, wenn Daten gestohlen oder von Ihrem Gerät gelöscht werden.

Maßnahmen nach einer Ransomware-Infektion

Obwohl die oben genannten Vorschläge Sie vor LockBit-Ransomware schützen können, ist eine Infektion dennoch möglich. Wenn Sie also feststellen, dass Ihr Computer mit dem LockBit 3.0-Virus infiziert ist, ist es wichtig, nicht voreilig zu handeln. Es gibt Schritte, die Sie unternehmen können, um Ransomware von Ihrem Gerät zu entfernen, die Sie sorgfältig befolgen sollten.

Sie sollten die Behörden auch benachrichtigen, wenn Sie Opfer eines Ransomware-Angriffs werden. Dies hilft den Beteiligten, bestimmte Arten von Ransomware besser zu verstehen und zu bekämpfen.

Niemand weiß, wie oft die LockBit 3.0-Ransomware noch eingesetzt wird, um Opfer zu bedrohen und auszunutzen. Aus diesem Grund ist es wichtig, Ihre Geräte und Konten auf jede erdenkliche Weise zu schützen, damit Ihre sensiblen Daten sicher bleiben.