Aktuelles, Branche - geschrieben von dp am Freitag, November 11, 2022 18:57 - noch keine Kommentare
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental
Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit
[datensicherheit.de, 11.11.2022] Der Cyber-Angriff auf den Dax-Konzern Continental sei nur eines von vielen einschlägigen Beispielen der Aktivitäten rund um die RaaS-Gruppe „LockBit“. Was es mit „LockBit 3.0“, der neuesten Version der Bedrohungsgruppe auf sich hat und wieso diese vor allem im Hinblick auf die DSGVO so kritisch ist, erläutert Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry, in seiner aktuellen Stellungnahme:
LockBit – eine Ransomware-as-a-Service-Gruppe
„LockBit“ sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. „Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie ,BlackMatter’ und ,DarkSide’ oder ,BlackCat’.
Diese hätten weltweit erhebliche finanzielle Schäden und sichtbare Beeinträchtigungen bei diversen Unternehmen verursacht. „Ausgehend von der bekannten Zuschreibung und historischen Threads stammt ,LockBit’ aus einer russischsprachigen Hacker-Gemeinschaft“, so Bestuzhev.
Neueste Version – LockBit 3.0 – auch LockBit Black genannt
Die neueste Version – „LockBit 3.0“ – werde auch als „LockBit Black“ bezeichnet: „,LockBit Black’ ist ein interner Name, den der dahinterstehende Bedrohungsakteur nach der Verschlüsslung aller Dateien in der Einschüchterungsnachricht mit der Lösegeldforderung verwendet.“ Als Teil des Einschüchterungsprogramms beziehe sich „LockBit 3.0“ stets auf die Datenschutz-Grundverordnung (DSGVO/GDPR).
„Dies betrifft besonders Opfer aus Westeuropa, wo die GDPR-Gesetzgebung gilt. Sie werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenzielle Kundenklagen Geld zu verlieren“, berichtet Bestuzhev. Ebenso werde der Zeitaufwand für die Wiederherstellung von Vorgängen in der Einschüchterungsnachricht angeführt.
Auch in den USA ansässige Organisationen sollten Bedrohung durch LockBit Beachtung schenken
Derzeit gebe es keine Möglichkeit, die Verschlüsselung zu knacken, um die Daten zu entschlüsseln. „Es ist jedoch immer wichtig, Sicherungskopien verschlüsselter Daten zu speichern, weil die Entschlüsselungs-Codes später im Rahmen der Zusammenarbeit mit internationalen Strafverfolgungsbehörden oder aus anderen Gründen auftauchen könnten.“
Bestuzhev erörtert die Frage, ob in den USA ansässige Organisationen der Bedrohung durch „LockBit“ ebenfalls Beachtung schenken sollten: „Die Antwort lautet: Ja! Und zwar wegen der möglichen Auswirkungen: Datenlecks und eine Geschäftsunterbrechung. Beides führt zu finanziellen Einbußen.“
Um sich vor RaaS-Kampagnen wie LockBit zu schützen, empfiehlt BlackBerry folgende Best Practices:
- Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
- Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
- Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
- Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
- Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
- Erweitern Sie Ihren Überblick auf all Ihre Assets.
- Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
- Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
- Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
- Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
- Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.
Weitere Informationen zum Thema:
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren