Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

[datensicherheit.de, 23.01.2024] Laut aktuellen Medienberichten soll „Lockbit“ – eine RaaS-Gruppe („Ransomware as a Service“) – wieder zugeschlagen haben: Das neueste Opfer ist demnach die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen nun erpresst. „Überraschend ist das nicht“, kommentiert Richard Werner, „Business Consultant“ bei Trend Micro. „Lockbit“ gehöre zu den gefährlichsten aktuelle aktiven RaaS-Gruppen. Ihre Opfer seien primär in den USA und Europa zu finden – diese bestünden zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (unter 500 Mitarbeiter). Pro Halbjahr seien zwischen 500 und 800 einzelne Opfer identifizierbar. „Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen“, so Werner und erläutert ein paar Hintergründe zur Methode:

Foto: Trend Micro

Richard Werner rät prinzipiell zur Minimierung persönlicher Daten

Ransomware-Angriff – Methode der Doppelten Erpressung

Ein Ransomware-Angriff läuft laut Werner im Endeffekt so ab: „Die Täter breiten sich innerhalb des Opfer-Unternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst.“ Diese Methode wirke heutzutage nicht mehr annähernd so zuverlässig, wie noch vor vier oder fünf Jahren, denn die Opfer könnten heutzutage auf erfahrene Cyber-Verteidigungen zurückgreifen:

„Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her.“

So sei dann das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun komme die Komponente „Datendiebstahl“ ins Spiel: Das betroffene Unternehmen werde damit bedroht, diese Daten zu veröffentlichen. „Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.“

Empfehlung an Ransomware-Opfer, kein Lösegeld zu zahlen

Gestohlene Daten könnten aber nicht zurückgekauft werden. „Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert.“ Dies bedeute, dass die gestohlenen Daten im Besitz der Täter verblieben.

„Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll.“

Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. „Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.“

Große Menge gestohlener Daten für Normalmenschen ein Problem – Datensparsamkeit generell empfohlen

Weltweit scheine nur etwa ein Siebtel der Unternehmen (ca. 14%) aufgrund der sogenannten Zweifachen Erpressung zu zahlen. Dies müsse nicht einmal mit dieser Methode zusammenhängen, sondern könne auch bedeuten, „dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird“.

Nur: „Die große Menge gestohlener Daten, über die – wie hier bei Subway auch – gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren.“ Denn damit werde das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten sei nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle seien wir betroffen: „Eine geklaute Telefonnummer kann ein ,Enkeltrick’ werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden.“

Werner unterstreicht abschließend: „All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann.“ Eine Minimierung der persönlichen Daten wäre wünschenswert – außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. „Wenn es doch bloß sowas wie ein Gesetz dafür geben würde…“

Weitere Informationen zum Thema:

heise online, Dirk Knop, 22.01.2024
Datenklau: Lockbit erpresst Subway / Die Online-Bande Lockbit behauptet, bei der Fastfood-Kette Subway eingebrochen zu sein und sensible Daten kopiert zu haben

TREND MICRO, Trend Micro Research, 08.02.2022
LockBit

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

[datensicherheit.de, 11.11.2022] Der Cyber-Angriff auf den Dax-Konzern Continental sei nur eines von vielen einschlägigen Beispielen der Aktivitäten rund um die RaaS-Gruppe „LockBit“. Was es mit „LockBit 3.0“, der neuesten Version der Bedrohungsgruppe auf sich hat und wieso diese vor allem im Hinblick auf die DSGVO so kritisch ist, erläutert Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry, in seiner aktuellen Stellungnahme:

LockBit – eine Ransomware-as-a-Service-Gruppe

„LockBit“ sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. „Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie ,BlackMatter’ und ,DarkSide’ oder ,BlackCat’.

Diese hätten weltweit erhebliche finanzielle Schäden und sichtbare Beeinträchtigungen bei diversen Unternehmen verursacht. „Ausgehend von der bekannten Zuschreibung und historischen Threads stammt ,LockBit’ aus einer russischsprachigen Hacker-Gemeinschaft“, so Bestuzhev.

Neueste Version – LockBit 3.0 – auch LockBit Black genannt

Die neueste Version – „LockBit 3.0“ – werde auch als „LockBit Black“ bezeichnet: „,LockBit Black’ ist ein interner Name, den der dahinterstehende Bedrohungsakteur nach der Verschlüsslung aller Dateien in der Einschüchterungsnachricht mit der Lösegeldforderung verwendet.“ Als Teil des Einschüchterungsprogramms beziehe sich „LockBit 3.0“ stets auf die Datenschutz-Grundverordnung (DSGVO/GDPR).

„Dies betrifft besonders Opfer aus Westeuropa, wo die GDPR-Gesetzgebung gilt. Sie werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenzielle Kundenklagen Geld zu verlieren“, berichtet Bestuzhev. Ebenso werde der Zeitaufwand für die Wiederherstellung von Vorgängen in der Einschüchterungsnachricht angeführt.

Auch in den USA ansässige Organisationen sollten Bedrohung durch LockBit Beachtung schenken

Derzeit gebe es keine Möglichkeit, die Verschlüsselung zu knacken, um die Daten zu entschlüsseln. „Es ist jedoch immer wichtig, Sicherungskopien verschlüsselter Daten zu speichern, weil die Entschlüsselungs-Codes später im Rahmen der Zusammenarbeit mit internationalen Strafverfolgungsbehörden oder aus anderen Gründen auftauchen könnten.“

Bestuzhev erörtert die Frage, ob in den USA ansässige Organisationen der Bedrohung durch „LockBit“ ebenfalls Beachtung schenken sollten: „Die Antwort lautet: Ja! Und zwar wegen der möglichen Auswirkungen: Datenlecks und eine Geschäftsunterbrechung. Beides führt zu finanziellen Einbußen.“

Um sich vor RaaS-Kampagnen wie LockBit zu schützen, empfiehlt BlackBerry folgende Best Practices:

• Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
• Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
• Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
• Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
• Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
• Erweitern Sie Ihren Überblick auf all Ihre Assets.
• Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
• Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
• Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
• Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
• Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.

Weitere Informationen zum Thema:

heise online, 11.11.2022
Continental-Einbruch: Lockbit-Cybergang fordert 50 Millionen US-Dollar / Für 50 Millionen US-Dollar bieten die Lockbit-Erpresser an, die Daten zu löschen oder auszuliefern, die sie beim DAX-Unternehmen Continental gestohlen haben

[datensicherheit.de, 16.09.2021] Das „Advanced Threat Research Team“ von McAfee Enterprise hat an 9. September 2021 aktuelle Forschungsergebnisse rund um die neue RaaS-Gruppe (Ransomware-as-a-Service) „Groove Gang“ veröffentlicht. Sie haben nach eigenen Angaben herausgefunden, dass die „Groove Gang“ mit hoher Wahrscheinlichkeit in enger Verbindung mit der „Babuk“-Ransomware-Gruppe stehe – entweder als ehemaliger Partner oder als eine direkte Untergruppe. Diese Analyse schließe sich an die laufenden Untersuchungen von McAfee Enterprise über die „Babuk“-Ransomware-Gruppe an.

Groove Gang mit eigenem Profil in der Ransomware-as-a-Service-Szene

Über Jahre hinweg sei die RaaS-Szene als hierarchisch und durchaus strukturierte Organisation wahrgenommen worden. Die Cyber-Kriminellen rund um die „Groove Gang“ ließen die früheren RaaS-Hierarchien allerdings gerne beiseite und konzentrierten sich auf die unrechtmäßigen Gewinne, welche durch die Kontrolle der Netzwerke der Opfer erzielt werden könnten, anstatt wie bisher die Kontrolle über die Ransomware selbst zu priorisieren. Die wichtigsten Ergebnisse der neuen Forschung des „Advanced Threat Research Teams“ sind:

• Der Fallout:
  Nach dem turbulenten „Shutdown“ der „Babuk“-Gruppe und den Auswirkungen der Angriffe auf die Colonial Pipeline und Kaseya schienen einige Cyber-Kriminelle der Ransomware-Szene in einem Forum namens „RAMP“ ein neues Zuhause gefunden zu haben. RAMP sei im Juli 2021 gegründet und ursprünglich auf der gleichen „TOR“-basierten Ressource gehostet worden, welche zuvor einen von der „Babuk“-Ransomware-Gruppe betriebenen Blog sowie den „Payload.bin“-Marktplatz für geleakte Unternehmensdaten beherbergt habe.
• Der Auslöser:
  Einige beliebte Foren für Cyber-Kriminelle hätten Ransomware-Akteuren seit dem Colonial-Pipeline-Angriff untersagt, ihre Plattform für Werbung zu nutzen, was es RaaS-Gruppen erschwere, Glaubwürdigkeit aufzubauen und ihre derzeitige Spitzenposition im Untergrund beizubehalten.
• Die böswilligen Akteure:
  Der Cyber-Kriminelle bekannt unter dem Namen „Orange“ habe innerhalb der Szene zur Zusammenarbeit aufgerufen und darauf hingewiesen, dass die „Groove Gang“ seit zwei Jahren eine finanziell motivierte kriminelle Organisation sei, welche sich mit Industriespionage befasse. Er habe behauptet, dass einige Opfer der Angriffe von „Babuk“ der „Groove“-Gruppe zu viel Aufmerksamkeit verholfen hätten.
• Finanzielle Motivation:
  Aufgrund des Zusammenfalls von „Babuk“, der Ähnlichkeiten zwischen den RaaS-Gruppen und der Entwicklung im Untergrund, gingen Forscher von McAfee Enterprise davon aus, dass es sich bei der „Groove Gang“ um ehemalige Mitglieder oder eine Untergruppe von „Babuk“ handele. Diese Gruppe sei bereit, mit anderen Parteien zusammenzuarbeiten, solange es für sie dabei einen finanziellen Gewinn gebe.

Ransomware-Unterwelt im Umbruch

Die sich verändernde cyber-kriminelle Untergrundlandschaft habe die perfekte Gelegenheit für den Bedrohungsakteur „Orange“ geschaffen – mit der „Groove Gang“ im Schlepptau, welche neue Arbeitsweisen angeboten habe, bei denen der Wert eines Mitarbeiters ausschließlich auf seiner Fähigkeit basiert habe Lösegeld zu verdienen. Dies bestätige im Wesentlichen die Überzeugung von McAfee Enterprise, dass „Groove Gang“ und „Babuk“ miteinander verbunden seien.

Weitere Informationen zum Thema:

McAfee, Max Kersten & John Fokker & Thibault Seret, 08.09.2021
How Groove Gang is Shaking up the Ransomware-as-a-Service Market to Empower Affiliates

[datensicherheit.de, 07.01.2020] Laut einer aktuellen Stellungnahme von Jim Walter, SentinelOne, ist Ransomware-as-a-Service (RaaS) „ein lukratives Geschäftsmodell und erfreut sich in Hackerkreisen zunehmend großer Beliebtheit“. Egal ob „TOX“, „SATAN“ oder „Petya“ – Dienste, bei denen man mit wenigen Mausklicks seinen eigenen maßgeschneiderten Krypto-Trojaner generieren könne – boomten. Der Vorteil solcher Services liegt laut Walter auf der Hand: Angreifer brauchten keine tiefere Programmier- und Entwicklungserfahrung mehr, um eigene Ransomware-Angriffe durchzuführen. Walter: „So werben die drei neuen RaaS-Dienste ,Recoil‘, ,Cryptonite‘ und ,Ghostly Locker‘ auch explizit mit Benutzerfreundlichkeit und höchster Effektivität.“ Dies sei Grund genug, diese einmal nachfolgend genauer unter die Lupe zu nehmen.

Recoil: Auch Offline-Verschlüsselung möglich

Erste Werbeanzeigen für „Recoil“ sind demnach Anfang November 2019 in verschiedenen Foren erschienen. Der Funktionsumfang von „Recoil“ sei typisch für einen modernen RaaS-Service und nicht weiter ungewöhnlich. Auch wenn die Entwickler behaupteten, ihre Ransomware sei „Fully Undetectable“ (FUD), d.h. für Sicherheitslösungen nicht identifizierbar und damit ein sicheres Tool für eine erfolgreiche Verschlüsselung, sei dies nur die halbe Wahrheit.
Zwar könnten die Entwickler dem Käufer einen einzigartig kompilierten „Stub“ [lokaler Anknüpfungspunkt für Software] zur Verfügung stellen, der noch nicht von öffentlichen Teststellen wie „VirusTotal“ analysiert worden sei, „was bedeutet, dass ältere signaturbasierte AV-Lösungen in der Tat leicht umgangen werden können“. Dies mache ihre Ransomware jedoch noch lange nicht einer zu FUD-Malware. Vielmehr seien „Sicherheitslösungen, die eine erweiterte verhaltensbasierte Erkennung anwenden, durchaus in der Lage, auch diese Schadsoftware zu identifizieren“.
Das Außergewöhnliche an „Recoil“ ist laut Walter, „dass es die Möglichkeit bietet, auch offline zu verschlüsseln, was den Service für Kriminelle sehr attraktiv macht“: Einerseits sorge die Offline-Funktion dafür, dass die Payload weniger „laut“ agiere. „Wenn es jedoch keinen anomalen Traffic gibt, der mit offensichtlich verdächtigen ,.onion‘-Sites Kontakt aufnimmt, werden einfache Sicherheitskontrollen, die genau auf solche Anomalitäten ansprechen (man denke etwa an IPS, IDS oder Firewalls), auch keine Warnungen erzeugen“. Andererseits optimiere das „Offline-Bleiben“ die Geschwindigkeit, weil Netzwerkstatusprüfungen oder andere Verzögerungen, die bei der Kontaktaufnahme mit dem Server des Angreifers entstünden, hier wegfielen.
Problematisch sei zudem, dass „Recoil“ in der Lage sei, „Shadow Copies“, d.h. Schattenkopien, zu löschen. „Konnten die Systeme des Opfers die Ransomware nicht frühzeitig identifizieren und die Verschlüsselung stoppen bzw. sind keine anderen Backups vorhanden, dürften dies größere Ausfälle und Schäden für das Opfer nach sich ziehen“, warnt Walter.
Untersuchungen zeigten, dass „Recoil“ sowohl „Windows“ (x86 / x64) als auch „Android“ unterstütze. Die Kosten lägen bei 500 US-Dollar pro Bestellung und für beide Plattformen.

Cryptonite speziell für Laien und Personen ohne jegliche Programmierkenntnisse

„Cryptonite“ sei erstmals Anfang Dezember 2019 in einschlägigen Foren aufgetaucht. Auch dieser Service zeichne sich durch solide RaaS-Funktionen aus und biete darüber hinaus eine umfangreiche Vorschau auf das System und einzelne Funktionen, „bevor man ein zahlungspflichtiges Abonnement abschließt“. Zudem werben die Entwickler laut Walter mit speziellen Sonderangeboten und Rabatten für die ersten eintausend Kunden.
„Cryptonite“ fokussiere gezielt Laien und Personen ohne jegliche Programmierkenntnisse. „Dies heben die Verantwortlichen des Services immer wieder hervor.“ Die Eintrittsbarriere in die Welt der Cyber-Kriminalität sei bei „Cryptonite“ fast null, „was bedeutet, dass jeder, der in der Lage ist, Dateien herunterzuladen und so den ,infektiösen Ball‘ ins Rollen bringt, in kürzester Zeit (teils wenigen Minuten) großen Schaden anrichten kann“. Dies mache „Cryptonite“ besonders gefährlich.
Das Kostenmodell von „Cryptonite“ unterscheide sich von dem vieler anderer RaaS-Dienste. Anstatt von jedem erhaltenen Lösegeld einen Anteil zu verlangen oder eine „Eintrittsgebühr“ zu erheben, verkauften die Macher Pakete mit so genannten „Infektionskrediten“. Jedes infizierte Opfer entspreche demnach einem Kredit.
Die Preise für „Cryptonit“ lägen derzeit zwischen 195 und 895 US-Dollar und setzten eine Grenze für die Höhe des Lösegeldes pro Opfer von 150 bis 250 US-Dollar. Dafür könnten potenzielle Kriminelle zwischen 50 und 200 Opfer infizieren und entsprechend zwischen 7.500 und 50.000 Dollar insgesamt verdienen. Unterstützt werde ausschließlich „Windows“ (x86/x64).

Ghostly Locker bietet vollwertiges RaaS-Angebot

Die „Ghostly Locker“-Ransomware sei erstmals Mitte November 2019 als Service angeboten worden und biete den Kunden ein vollwertiges RaaS-Angebot. Dazu zählten unter anderem eine „leise“ Multi-Thread-Verschlüsselung, eine Automatisierung von Kundenzahlungen und eine „TOR“-Portal-basierte Infektionsverfolgung.
Die Kunden des RaaS-Dienstes könnten zwischen einer vollständigen (Full Disk Encryption) oder teilweisen (Partial Enryption) Festplattenverschlüsselung wählen. Die vollständige Verschlüsselung sei dabei langsamer und sollte nach Angaben der Entwickler dann verwendet werden, „wenn man sicherstellen will, dass die betroffenen Dateien nie wiederhergestellt werden können“. Dabei brauche „Ghostly Locker“ für die „Full Disk Encryption“ im Durchschnitt nur eine Minute.
Dies macht laut Walter deutlich, „wie wenig Zeit Sicherheitstechnologien heute haben, um Infektionen abzuwehren“. Habe das Opfer etwa eine auf Cloud-Lookups basierende EDR-Lösung im Einsatz, um schlechtes Verhalten zu beurteilen, könne das sehr schnell zu einem großen Problem werden.
„Ghostly Locker“ unterstütze lediglich „Windows“ (x86/x64). Das Kostenmodell sei traditionell und umfasse eine Vorauszahlung sowie zusätzliche Kosten für jede weitere Funktion, die der Käufer wünscht.

Fast ein Kinderspiel, Malware-Dateien zu erstellen und Lösegeld-Prozesse zu initiieren

Dank RaaS-Diensten wie „Recoil“, „Cryptonite“ oder „Ghostly Locker“ könnten auch Laien ohne tiefe IT-Kenntnisse ihren Anteil am Milliardengeschäft Cyber-Erpressung abbekommen.
Die nutzerfreundlichen und teils selbsterklärenden Services machten es fast für jedermann zum Kinderspiel, Malware-Dateien zu erstellen und Lösegeld-Prozesse zu initiieren.
„Umso wichtiger ist es, dass sich vor allem Unternehmen stets über die neuesten Arten von Malware und Ransomware-Diensten sowie deren Wirksamkeit und Vorgehensweise auf dem Laufenden halten und die entsprechenden Schutzmaßnahmen zu ergreifen“, betont Walter.

Weitere Informationen zum Thema:

datensicherheit.de, 11.08.2019
Unternehmen: Ransomware-Angriffe um 365 Prozent angestiegen