LockBit 3.0

Überblick

LockBit, auch bekannt als LockBit Black oder LockBit 3.0, zählt zu den größten und einflussreichsten Ransomware-Gruppen weltweit. Sie tritt durch umfangreiche und systematisch geführte Angriffe in Erscheinung, die sich gegen Einrichtungen unterschiedlichster Branchen rund um den Globus richten. Charakteristisch für die Gruppe ist ihr ausgesprochen anpassungsfähiges und beharrliches Vorgehen: Sie entwickelt ihre Methoden fortlaufend weiter und passt ihre Strategien an die jeweiligen Zielumgebungen an. Auf diese Weise konnte sie zahlreiche Organisationen kompromittieren und sich als einer der maßgeblichen Akteure im Bereich der Erpressungssoftware etablieren. LockBit operiert ohne erkennbare Beschränkung auf einzelne Wirtschaftszweige und greift Opfer breit gestreut an. Das Zusammenspiel aus Beharrlichkeit, technischer Anpassungsfähigkeit und großflächiger Ausrichtung macht die Gruppe zu einem prägenden Vertreter der gegenwärtigen Ransomware-Bedrohungslandschaft, dessen Aktivitäten ein breites Spektrum von Einrichtungen weltweit betreffen.

Taktiken & Vorgehen

LockBit greift auf ein breites Arsenal an Werkzeugen zurück. Zum Abgreifen von Zugangsdaten kommen unter anderem „Mimikatz“, „LaZagne“, „Gosecretsdump“, „ProcDump“, „Veeam-Get-Creds“ sowie diverse Passwort-Extraktoren wie „NirSoft ExtPassword“, „PasswordFox“ und „LostMyPassword“ zum Einsatz. Sicherheitslösungen werden mit Werkzeugen wie „Defender Control“, „Backstab“, „GMER“, „PCHunter“, „PowerTool“, „ProcessHacker“ und „TDSSKiller“ ausgehebelt. Zur Erkundung des Netzwerks dienen „AdFind“, „Bloodhound“, „Seatbelt“, „Advanced IP Scanner“, „Advanced Port Scanner“ und „SoftPerfect NetScan“. Für laterale Bewegung und Steuerung nutzt die Gruppe „Cobalt Strike“, „Metasploit“, „PowerShell Empire“, „Koadic“, „Impacket“, „PsExec“, „Ligolo“, „Ngrok“ und „Plink“. Datenexfiltration erfolgt über „RClone“, „MEGA“, „FileZilla“, „WinSCP“, „FreeFileSync“ und zahlreiche Filehoster. Für den Fernzugriff werden „AnyDesk“, „TeamViewer“, „ScreenConnect“, „Splashtop“, „ZohoAssist“, „Action1“ und „Splashtop“ missbraucht.

Schutzmaßnahmen

Da Werkzeuge zum Abgreifen von Zugangsdaten wie „Mimikatz“, „LaZagne“ und „ProcDump“ eingesetzt werden, sollte der Zugriff auf den Speicher privilegierter Prozesse überwacht und eingeschränkt werden. Gegen das Deaktivieren von Schutzsoftware durch „Defender Control“ oder „Backstab“ sollten Manipulationsschutz für Sicherheitslösungen aktiviert und das Nachladen verwundbarer Treiber unterbunden werden. Der Missbrauch legitimer Fernwartungssoftware wie „AnyDesk“, „TeamViewer“, „ScreenConnect“ und „ZohoAssist“ sollte durch Anwendungssteuerung und Mehr-Faktor-Authentisierung erschwert werden. Erkundungs- und Bewegungswerkzeuge wie „Bloodhound“, „Cobalt Strike“ und „PsExec“ sollten durch Netzwerksegmentierung und Überwachung auffälliger Anmelde- und Verbindungsmuster eingedämmt werden. Ausgehender Datenverkehr zu „RClone“, „MEGA“ und Filehostern sollte kontrolliert und blockiert werden.