LockBit 3.0 Ransomware-Analysebericht veröffentlicht

In den drei Wochen vom 24. März bis zur ersten Aprilwoche dieses Jahres wurden im vietnamesischen Cyberspace aufeinanderfolgende gezielte Angriffe in Form von Ransomware auf große vietnamesische Unternehmen registriert, die in wichtigen Bereichen wie Finanzen, Wertpapiere, Energie, Telekommunikation usw. tätig sind. Diese Angriffe führten dazu, dass die Systeme der Unternehmen für einen bestimmten Zeitraum lahmgelegt wurden, was den Einheiten, deren Systeme im Visier cyberkrimineller Gruppen waren, erheblichen wirtschaftlichen Schaden und einen erheblichen Reputationsschaden zufügte.

Bei der Analyse und Untersuchung der Ursachen und Tätergruppen, die vor Kurzem die Informationssysteme vietnamesischer Unternehmen angegriffen haben, stellten die Behörden fest, dass diese Vorfälle „Produkte“ vieler verschiedener Angriffsgruppen wie LockBit, BlackCat, Mallox usw. waren. Insbesondere beim Ransomware-Angriff auf das VNDIRECT-System am 24. März um 10:00 Uhr, bei dem sämtliche Daten der drei größten Unternehmen der vietnamesischen Börse verschlüsselt wurden, identifizierten die Behörden die LockBit-Gruppe mit der Schadsoftware LockBit 3.0 als Drahtzieher dieses Vorfalls.

W-Angriffs-Daten-Malware-0-1-1.jpg
Das Nationale Cybersicherheitszentrum, Abteilung A05 (Ministerium für öffentliche Sicherheit), bestätigte, dass der Angriff auf das System der Wertpapierfirma VNDIRECT im März 2024 von LockBit 3.0 durchgeführt wurde.

Die LockBit-Gruppe hat weltweit zahlreiche Ransomware-Angriffe auf große Unternehmen und Organisationen gestartet. Beispielsweise griff diese berüchtigte Ransomware-Gruppe im Juni bzw. Oktober 2023 das Halbleiterunternehmen TSMC (Taiwan, China) und das Unternehmen CDW (Information Technology Products and Services) an. Die von der Lockbit-Gruppe geforderte Lösegeldsumme für die Daten belief sich auf 70 – 80 Millionen USD.

Mit dem Wunsch, Behörden, Organisationen und Unternehmen in Vietnam dabei zu helfen, das Gefahrenniveau besser zu verstehen und die Risiken von Ransomware-Angriffen im Allgemeinen sowie Angriffen der LockBit-Gruppe zu verhindern und zu minimieren, hat das National Cyber ​​Security Monitoring Center (NCSC) der Abteilung für Informationssicherheit (Ministerium für Information und Kommunikation) gerade Informationsquellen zum Cyberspace zusammengefasst und den „Analysebericht zur Ransomware LockBit 3.0“ veröffentlicht.

Die gefährlichste Ransomware-Gruppe der Welt

Der neue Bericht des NCSC konzentriert sich auf die Bereitstellung von vier Hauptinhalten, darunter: Informationen über die LockBit-Ransomware-Angriffsgruppe; LockBit-Cluster sind aktiv; Eine Liste mit Indikatoren für Cyberangriffe im Zusammenhang mit LockBit 3.0 wurde erstellt. So verhindern und minimieren Sie Risiken durch Ransomware-Angriffe.

Der NCSC-Bericht bezeichnet LockBit als eine der gefährlichsten Ransomware-Gruppen der Welt und weist auch darauf hin, dass LockBit seit seinem ersten Auftreten im Jahr 2019 zahlreiche Angriffe auf Unternehmen und Organisationen in vielen verschiedenen Bereichen durchgeführt hat. Die Gruppe arbeitet mit einem „Ransomware-as-a-Service (RaaS)“-Modell, das es Bedrohungsakteuren ermöglicht, Ransomware einzusetzen und die Gewinne mit denjenigen zu teilen, die hinter dem Dienst stehen.

Ransomware lockbit.jpg
Laut Experten ist LockBit eine der gefährlichsten Ransomware-Gruppen der Welt. Abbildung: Bkav

Insbesondere wurde im September 2022 der Quellcode von LockBit 3.0, einschließlich einiger Namen, die zur Entwicklung dieser Ransomware verwendet werden könnten, von einer Person namens „ali_qushji“ auf der X-Plattform (ehemals Twitter) geleakt. Durch das Leck konnten Experten das LockBit 3.0-Ransomware-Beispiel genauer analysieren. Seitdem haben Bedrohungsakteure jedoch eine Welle neuer Ransomware-Varianten auf Grundlage des LockBit 3.0-Quellcodes erstellt.

Neben der Analyse der Angriffsmethoden aktiver LockBit-Ransomware-Cluster wie TronBit, CriptomanGizmo oder Tina Turnet bietet der NCSC-Bericht den Behörden auch eine Liste der aufgezeichneten Indikatoren für Cyberangriffe im Zusammenhang mit LockBit 3.0. „Wir werden die IOC-Indikatorinformationen auf der Seite alert.khonggianmang.vn des nationalen Cyberspace-Portals kontinuierlich aktualisieren“, sagte ein NCSC-Experte.

Ein besonders wichtiger Teil des „LockBit 3.0 Ransomware Analysis Report“ ist der Inhalt, der Behörden, Organisationen und Unternehmen Anleitungen zur Vorbeugung und Minimierung von Risiken durch Ransomware-Angriffe gibt. Wichtige Hinweise zur Unterstützung von Einheiten in Vietnam bei der Prävention und Reaktion auf Ransomware-Angriffe wurden vom Ministerium für Informationssicherheit im „Handbuch über einige Maßnahmen zur Prävention und Minimierung von Risiken durch Ransomware-Angriffe“ vom 6. April abgegeben und von den NCSC-Experten weiterhin zur Umsetzung empfohlen.

W-Anti-Ransomware-Angriff-1.jpg
Die kontinuierliche Überwachung zum frühzeitigen Erkennen von Systemeinbrüchen ist eine von neun Maßnahmen, die die Abteilung für Informationssicherheit Organisationen empfiehlt, um Ransomware-Angriffe zu verhindern. Illustration: Khanh Linh

Experten zufolge gehen Ransomware-Angriffe heutzutage häufig von einer Sicherheitsschwäche einer Behörde oder Organisation aus. Angreifer infiltrieren Systeme, behalten ihre Präsenz, erweitern ihren Einflussbereich, kontrollieren die IT-Infrastruktur der Organisation und legen das System lahm. Ihr Ziel besteht darin, die tatsächlichen Opferorganisationen zur Zahlung eines Lösegelds zu zwingen, wenn sie die verschlüsselten Daten wiederherstellen möchten.

Ein Vertreter der Abteilung für Informationssicherheit teilte den Reportern von VietNamNet zum Zeitpunkt des Angriffs auf das VNDIRECT-System vor fünf Tagen mit, dass er aus der Sicht der an der Koordinierung der Aktivitäten zur Unterstützung der Reaktion auf Vorfälle beteiligten Einheit Folgendes gesagt habe: „Dieser Vorfall ist eine wichtige Lektion, um das Bewusstsein für die Netzwerksicherheit von Organisationen und Unternehmen in Vietnam zu schärfen.“

Daher müssen Behörden, Organisationen und Unternehmen – insbesondere jene, die in so wichtigen Bereichen wie Finanzen, Bankwesen, Wertpapierwesen, Energie, Telekommunikation usw. tätig sind – dringend und proaktiv sowohl die vorhandenen Sicherheitssysteme als auch das Fachpersonal überprüfen und stärken und gleichzeitig Notfallreaktionspläne entwickeln.

„Organisationen müssen die erlassenen Vorschriften, Anforderungen und Richtlinien zur Informationssicherheit und Netzwerksicherheit strikt einhalten. Es liegt in der Verantwortung jeder Organisation und jedes Unternehmens, sich selbst und seine Kunden vor potenziellen Cyberangriffen zu schützen“, betonte ein Vertreter des Ministeriums für Informationssicherheit.

Die LockBit-Ransomware war zunächst nach der verschlüsselten Dateierweiterung als ABCD bekannt und nach einigen Monaten erschien eine Variante von ABCD mit dem aktuellen Namen Lockbit. Ein Jahr später veröffentlichte die Gruppe eine aktualisierte Version namens LockBit 2.0 (auch bekannt als LockBit Red), die eine weitere integrierte Schadsoftware namens StealBit enthielt, mit deren Hilfe vertrauliche Daten gestohlen werden konnten. LockBit 3.0, auch bekannt als LockBit Black, ist die neueste Version und erscheint 2022 mit neuen Funktionen und verbesserten Techniken zur Umgehung der Sicherheit.
Warum kann sich das PVOIL-System nach einem Ransomware-Angriff schnell erholen?

Warum kann sich das PVOIL-System nach einem Ransomware-Angriff schnell erholen?

Neben der nicht allzu großen Systemgröße ist die Verfügbarkeit von Backup-Daten ein wichtiger Faktor, damit PVOIL den Ransomware-Angriff schnell beheben und den Betrieb nach nur wenigen Tagen wiederherstellen konnte.
Schaffung einer Sicherheitskultur zur Verbesserung der Abwehr von Ransomware-Angriffen

Schaffung einer Sicherheitskultur zur Verbesserung der Abwehr von Ransomware-Angriffen

Laut CDNetworks Vietnam können Unternehmen ihre Abwehrmaßnahmen gegen Cyberangriffe (einschließlich Ransomware-Angriffe) verbessern, indem sie in die Schulung ihrer Mitarbeiter investieren, eine Sicherheitskultur schaffen und die Zusammenarbeit zwischen der Personalabteilung und dem Sicherheitsteam fördern.
Die Zahlung von Lösegeld für Daten wird Hacker zu verstärkten Ransomware-Angriffen ermutigen

Die Zahlung von Lösegeld für Daten wird Hacker zu verstärkten Ransomware-Angriffen ermutigen

Experten sind sich einig, dass Organisationen, die von Ransomware angegriffen werden, den Hackern kein Lösegeld zahlen sollten. Denn dadurch werden Hacker ermutigt, andere Ziele anzugreifen, oder andere Hackergruppen ermutigt, weiterhin das System ihrer Einheit anzugreifen.