Certified Security Operations Center GmbH

22. Februar 2024

LockBit-Ransomware-Gruppe zerschlagen: Was bedeutet das für die Cyber-Sicherheit?

Es gibt Grund zur Freude, die LockBit-Gruppe, eine der berüchtigten Cyberkriminellen Organisationen, wurde schachmatt gesetzt. Wir möchten heute erläutern, was das für die Cybersicherheit bedeutet und warum es wichtig ist weiterhin wachsam zu bleiben und proaktive Gegenmaßnahmen zu ergreifen. Die Lockbit-Gruppe wurde erstmals 2019 entdeckt und hat seitdem eine Reihe von Angriffen auf Unternehmen und Organisationen weltweit durchgeführt. LockBit zeichnete sich durch seine Professionalität und die Fähigkeit aus, sich an die Sicherheitsmaßnahmen von Unternehmen anzupassen. Die LockBit-Gruppe ist dafür bekannt, dass sie ständig ihre Angriffsmethoden weiterentwickelte und anpasste, um den Sicherheitsmaßnahmen von Unternehmen einen Schritt voraus zu sein. Sie nutzten oft fortschrittliche Verschlüsselungsalgorithmen und verfügten über ein ausgeklügeltes Vorgehen, um sicherzustellen, dass ihre Ransomware sich in den Netzwerken ihrer Opfer ausbreiten und möglichst großen Schaden anrichten konnte.

Ein besorgniserregender Aspekt der LockBit-Gruppe war ihre Tendenz, sich gezielt auf große Unternehmen und Organisationen zu konzentrieren, insbesondere solche mit finanziellen Ressourcen und sensiblen Daten. Durch die Verschlüsselung wichtiger Dateien und Systeme konnten sie erhebliche finanzielle Verluste und Betriebsunterbrechungen verursachen. Darüber hinaus hatten sie durch die Drohung, gestohlene Daten zu veröffentlichen, auch erhebliche Auswirkungen auf das Ansehen und den Ruf ihrer Opfer.

Das ist bekannt:

In einer wegweisenden Operation ist es den Behörden nun gelungen, die gefürchtete LockBit-Ransomware-Gruppe effektiv zu zerschlagen. Die Gruppe, die weltweit für zahlreiche Cyberangriffe verantwortlich war, wurde von der National Crime Agency (NCA) gezielt ins Visier genommen. Die NCA arbeitete mit internationalen Partnern zusammen, um die Infrastruktur und die Finanzströme der Gruppe zu stören und mehrere Verdächtige festzunehmen.

Ein Sprecher der National Crime Agency (NCA) hat diese bahnbrechende Nachricht bestätigt: „Dies ist ein wichtiger Schlag gegen eine der gefährlichsten Ransomware-Gruppen der Welt. Wir haben ihre Operationen gestoppt, ihre Einnahmen beschlagnahmt und ihre Mitglieder zur Rechenschaft gezogen. Dies zeigt, dass wir nicht zulassen werden, dass Cyber-Kriminelle unsere Gesellschaft und unsere Wirtschaft bedrohen.“

In Verbindung mit unserem Cyber Threat Management konnten wir bereits umfassende Erfahrungen mit der LockBit-Ransomware bei unseren Kunden sammeln. Unsere proaktive Überwachung ermöglichte es uns, Bedrohungen frühzeitig zu erkennen und effektive Gegenmaßnahmen zu ergreifen. Unsere Mission ist es, stets Organisationen wie die LockBit-Gruppe zu beobachten und zu verstehen, um ihr dynamisches Verhalten gegen sie zu verwenden und unsere Kunden bestmöglich zu schützen. Im Rahmen des Threat Huntings stellten wir nun fest, dass tatsächlich alle LockBit onion mirrors im „Dark Net“ betroffen sind. Dies bedeutet, dass die Gruppe keinen Zugriff mehr auf ihre verschlüsselten Daten und ihre Kommunikationskanäle hat.

Bedeutung für die Cyber-Sicherheit:

Die Bekämpfung der LockBit-Gruppe erforderte eine koordinierte Anstrengung von Unternehmen, Regierungen und Sicherheitsexperten auf der ganzen Welt. Dies ist ein großer Erfolg für die globale Cyber-Sicherheit, doch die Zerschlagung der Gruppe bedeutet leider nicht, dass aufatmen angesagt ist und eine Entwarnung ausgesprochen werden kann. Es heißt weiterhin achtsam bleiben und vorsorgliche Gegenmaßnahmen ergreifen, denn andere Cyberkriminelle Organisationen lernen aus den Fehlern anderer. Viele weitere Cyber-Kriminelle sind nach wie vor aktiv und weitere Organisation bedrohen die Cyber-Sicherheit bereits bevor wir es wissen.

Wir raten Unternehmen weiterhin dringend, ihre Abwehrmaßnahmen durch folgende Handlungen zu stärken:

  • Sichern Sie Ihre Daten regelmäßig offline und bewahren Sie diese an einem sicheren Ort auf
  • Überwachen Sie Remote-Verbindungen regelmäßig und beschränken Sie den Remote-Zugriff auf das Nötigste
  • Implementieren Sie Phishing-resistente Multi-Faktor-Authentifizierungen
  • Überprüfen Sie alle Benutzerkonten regelmäßig und säubern Sie diese ebenso in regelmäßigen Abständen
  • Segmentieren Sie Ihre Netzwerke, um die Ausbreitung von Ransomware zu verhindern

Was Betroffene unternehmen können:

Betroffene eines LockBit-Angriffs haben die Möglichkeit, sich bei den Behörden zu melden und erhalten Unterstützung bei der Wiederherstellung ihrer Daten. Eine Zusammenarbeit zwischen NCA und Partnern ermöglicht Einblicke in LockBit-Infrastrukturen und -Aktivitäten. Betroffene Unternehmen können durch Bereitstellung von Informationen wie Firmenname, angegriffene Domain, ID aus der LockBit-Erpressernotiz und Angriffszeitpunkt Unterstützung bei der Datenentschlüsselung erhalten.

Das raten die Behörden:

  • Betroffene Unternehmen sollen sich umgehend bei den Behörden melden.
  • Stellen Sie den Behörden nach Möglichkeit Firmenname, Domain, LockBit-ID, Angriffszeitpunkt, ggf. Referenznummer der Strafanzeige bereit
  • Ermöglichen Sie den Behörden Zugang zu Kontaktdaten (Name, E-Mail, Telefonnummer).

Referenz. u.a. https://www.nomoreransom.org/en/decryption-tools.html

error: