LockBit

Überblick

LockBit zählt zu den produktivsten Ransomware-Gruppen und wird als vollwertige Ransomware-as-a-Service-Plattform betrieben. Das Vorgehen beruht auf einem Partnermodell: Die Entwickler stellen die Schadsoftware und die zugehörige Infrastruktur bereit, während angeworbene Partner die eigentlichen Einbrüche in die Zielnetze durchführen und einen Anteil an den Erlösen erhalten. Dieser arbeitsteilige Aufbau hat der Gruppe eine außergewöhnlich hohe Schlagzahl ermöglicht und sie zeitweise zur dominierenden Kraft im Ransomware-Umfeld gemacht. LockBit richtet sich praktisch gegen alle Wirtschaftszweige und geografischen Regionen, ohne erkennbare Beschränkung auf bestimmte Branchen. Charakteristisch sind die breite Streuung der Angriffe, die durch das Partnernetzwerk skaliert wird, sowie eine kontinuierliche Weiterentwicklung der Schadsoftware über mehrere Generationen hinweg, darunter die als LockBit 3.0 beziehungsweise „Black“ bezeichnete Variante. Die Kombination aus Datendiebstahl und Verschlüsselung macht die Gruppe zu einem besonders durchschlagskräftigen Akteur.

Taktiken & Vorgehen

Den Erstzugang erlangt LockBit über gültige, von Zugangshändlern gekaufte oder per Phishing erbeutete Konten, die für die Anmeldung über RDP oder VPN genutzt werden, sowie durch Ausnutzung verwundbarer, nach außen exponierter Anwendungen, darunter Citrix Bleed und Fortinet-Geräte. Zur Ausführung dienen WMI, geplante Aufgaben und PowerShell, die Persistenz wird über Registry-Run-Schlüssel hergestellt. Zur Tarnung werden Nutzdaten gepackt und verschleiert — LockBit 3.0 greift auf Code der BlackMatter-Ransomware zurück —, Windows-Ereignisprotokolle gelöscht und Schutzlösungen wie Windows Defender deaktiviert. Mit Mimikatz werden Zugangsdaten aus dem LSASS-Speicher ausgelesen, ergänzt durch Brute-Force-Angriffe. Zur Erkundung und seitlichen Bewegung dienen Advanced IP Scanner, nmap, Active-Directory-Abfragen, RDP, PsExec und SMB-Freigaben. Im Rahmen der Double Extortion werden Daten mit 7-Zip und WinRAR archiviert und über SFTP, FTP, Rclone sowie MEGASync abgezogen; AnyDesk und Tor sichern die Steuerung. Verschlüsselt wird mit AES-256, RSA-2048 und Salsa20, zuvor werden Dienste beendet und Schattenkopien per vssadmin und wmic entfernt.

Schutzmaßnahmen

Fernzugänge über RDP und VPN sollten durch Mehr-Faktor-Authentisierung, restriktive Freigaben und die Überwachung auf Brute-Force-Versuche abgesichert werden, da kompromittierte Konten den Haupteinstieg bilden. Nach außen exponierte Anwendungen und Perimetergeräte sollten zeitnah gepatcht werden, um die Ausnutzung bekannter Schwachstellen zu verhindern. Der Zugriff auf den LSASS-Speicher sollte eingeschränkt und überwacht werden, um das Auslesen von Zugangsdaten mit Mimikatz zu erschweren. Manipulationen an Windows Defender, das Löschen von Ereignisprotokollen sowie die Anlage geplanter Aufgaben und von Registry-Run-Schlüsseln sollten protokolliert und alarmiert werden. Der Einsatz von Werkzeugen wie PsExec, AnyDesk, Rclone und MEGASync sollte erkannt und auf legitime Nutzung beschränkt werden. Das Löschen von Schattenkopien über vssadmin und wmic sollte unterbunden und überwacht werden.