LockBit hat sich als der produktivste Name bei Ransomware-Angriffen herausgestellt und wurde nun für einen Vorfall verantwortlich gemacht, der die internationalen Aktivitäten von Royal Mail getroffen hat. Hier ist, was wir über LockBit wissen und wie es funktioniert.
Was ist Ransomware?
Ransomware ist eine bösartige Software oder Malware, die häufig über einen sogenannten „Phishing-Versuch“ in das Computernetzwerk eines Unternehmens eingeschleust wird. Dabei wird der Empfänger dazu verleitet, die Malware herunterzuladen, üblicherweise durch Klicken auf einen Link oder Anhang in einer E-Mail. Der Phishing-Versuch kann auch den Versuch beinhalten, auf den Benutzernamen und das Passwort der Person zuzugreifen, um in das Netzwerk einzudringen, indem man ihr vorgaukelt, sie würde sich in das fragliche Netzwerk einloggen.
Die Malware verschlüsselt dann infizierte Computer und macht es unmöglich, auf ihre Inhalte zuzugreifen. Der hinter dem Angriff stehende Schurkenakteur verlangt dann Geld von der betroffenen Einheit – in der Regel einem Unternehmen oder einer Regierungsorganisation –, damit diese Computer entsperrt oder entschlüsselt werden. Nach Angaben des US-Finanzministeriums werden allein US-Banken und Finanzinstitute verarbeitet etwa 1,2 Milliarden US-Dollar (990 Mio. £) an Ransomware-Zahlungen im Jahr 2021.
Wie funktioniert LockBit?
LockBit ist der Name einer bestimmten Malware, wobei die kriminelle Organisation dahinter ebenfalls diesen Namen trägt. Die LockBit-Gruppe verkauft diese Malware auch an andere Betreiber für finanziellen Gewinn, in einem Modell, das als Ransomware as a Service (Raas) bekannt ist. In Untergrundforen wurde die Malware als „die schnellste Verschlüsselungssoftware der Welt“ angepriesen.
„Wir haben einen echten Trend bei Ransomware-Banden gesehen, die ein ‚Affiliate-Modell‘ betreiben, bei dem sie den Zugriff auf diese Malware im Dark Web gegen Bezahlung verkaufen, oft in Kryptowährung“, sagt Toby Lewis, globaler Leiter der Bedrohungsanalyse bei Darktrace. eine britische Cybersicherheitsfirma. „Dies hilft LockBit, seine Aktivitäten wie ein Franchise zu skalieren.“
Lewis sagt, LockBit-Betreiber verschlüsseln nicht nur die Dateien, sondern begehen auch „doppelte Erpressung“, bei der sie die Daten stehlen und damit drohen, sie online freizugeben. Einige der Funktionen der Malware umfassen die Möglichkeit, Lösegeldforderungen auf betroffenen Netzwerkdruckern zu drucken, ein Detail, das im Royal Mail-Hack gemeldet wurde, wobei der Daily Telegraph berichtete, dass in einer Ransomware-Notiz stand: „Lockbit Black Ransomware. Ihre Daten werden gestohlen und verschlüsselt.“
LockBit verlangt, wie die meisten Ransomware-Gruppen, in Kryptowährung bezahlt zu werden. Bitcoin war in der Vergangenheit die bevorzugte Zahlungsmethode, aber laut Sophos, einem britischen Cybersicherheitsunternehmen, fordert LockBit die Zahlung in anderen digitalen Assets. „Viele wie LockBit sind aufgrund der erhöhten Anonymität stattdessen auf die Kryptowährung Monero umgestiegen“, sagt Peter Mackenzie, der das Incident Response Team bei Sophos leitet.
Er fügt hinzu: „LockBit-Lösegeldforderungen können von Hunderttausenden bis zu Zehnmillionen reichen, typischerweise basierend auf der Höhe des Schadens, von dem angenommen wird, dass er verursacht wurde, der Art der gestohlenen Daten und davon, wie viel sie glauben, dass sich das Opfer leisten kann.“
Wer steckt hinter LockBit?
Die meisten Ransomware-Gruppen operieren in der Regel von Osteuropa, ehemaligen Sowjetrepubliken und Russland aus. „LockBit fällt in dieselbe Kategorie“, sagt Lewis. Im November das US-Justizministerium gegen einen russischen und kanadischen Staatsbürger angeklagt, Mikhail Vasiliev, wegen angeblicher Teilnahme an der Ransomware-Kampagne von LockBit. Das DoJ sagte, LockBit sei gegen mindestens 1.000 Opfer in den USA und auf der ganzen Welt eingesetzt worden, habe mindestens 100 Millionen Dollar an Lösegeldforderungen gestellt und „zig Millionen Dollar an tatsächlichen Lösegeldzahlungen herausgezogen“.
Zu den Opfern von LockBit-Angriffen gehört Pendragon, ein britisches Autohaus, das sich geweigert hat, eine 60-Millionen-Dollar-Ransomware-Forderung zu zahlen.
Laut Trustwave, einer US-amerikanischen Cybersicherheitsfirma, „dominiert die LockBit-Gruppe den Ransomware-Bereich“ und verwendet große Zahlungen, um erfahrene Akteure zu rekrutieren. Laut Deep Instinct, einem israelischen Cybersicherheitsunternehmen, entfielen 44 % der Ransomware-Angriffe von Januar bis September letzten Jahres darauf.
Die Malware war zuvor als „.abcd“ bekannt, nach der Dateierweiterung, die verschlüsselten Dateien hinzugefügt wurde, als sie unzugänglich gemacht wurden. Ransomware und die dahinter stehenden Gruppen werden oft Namensänderungen unterzogen, um Strafverfolgungsbehörden oder eine Umbenennung nach Art des Unternehmens zu vermeiden, nachdem sie übermäßig berüchtigt geworden sind.
„Rebranding ist oft ein gängiges Ereignis. Dies kann dazu dienen, die Strafverfolgung zu umgehen, oder es hat einfach mit Marketing zu tun“, sagt Lewis.
Können Ransomware-Angriffe deaktiviert werden?
Das ist schwierig. Wenn der Angriff erst einmal eingetreten ist, ist er wirklich schwer zu stoppen. „Ihre beste Chance besteht darin, den Angriff überhaupt zu stoppen“, sagt Lewis. Aufräumarbeiten beinhalten oft den Wiederaufbau von Systemen und Netzwerken. „Wenn Sie Ransomware in Ihrem Netzwerk haben, ist es wirklich schwierig, sich anders zu vergewissern, als die Systeme von Grund auf neu aufzubauen.“
Ist es illegal, Ransomware-Forderungen zu bezahlen?
Letztes Jahr schrieben die britische Datenaufsicht, das Information Commissioner’s Office und das National Cyber Security Centre an Juristen in England und Wales und betonten, dass die Strafverfolgung die Zahlung von Lösegeldern „nicht fördert“, obwohl Zahlungen normalerweise nicht rechtswidrig seien. Beispielsweise ist es illegal, Lösegeld zu zahlen, wenn das betroffene Unternehmen weiß oder Grund zu der Annahme hat, dass der Erlös zur Finanzierung von Terrorismus verwendet wird. In dem Schreiben von ICO und NCSC heißt es: „Zahlungen fördern weiteres schädliches Verhalten böswilliger Akteure und garantieren nicht die Entschlüsselung von Netzwerken oder die Rückgabe gestohlener Daten.“
In den USA wird von der Zahlung von Lösegeld durch die Regierung abgeraten, aber ein Hinweis von der US-Finanzministerium im Jahr 2020 betonte, dies sei „nur erklärend“ und habe „keine Gesetzeskraft“.