Analysebericht zur Ransomware LockBit 3.0 veröffentlicht

In den drei Wochen vom 24. März bis zur ersten Aprilwoche dieses Jahres verzeichnete der vietnamesische Cyberspace eine Reihe gezielter Angriffe in Form von Ransomware auf große vietnamesische Unternehmen, die in wichtigen Bereichen wie Finanzen, Wertpapierhandel, Energie und Telekommunikation tätig sind. Diese Angriffe führten zu zeitweiligen Ausfällen der Unternehmenssysteme und verursachten erhebliche wirtschaftliche und reputationsbezogene Schäden für die betroffenen Unternehmen.

Im Zuge der Analyse und Untersuchung der Ursachen und Tätergruppen, die in jüngster Zeit die Informationssysteme vietnamesischer Unternehmen angegriffen haben, stellten die Behörden fest, dass diese Vorfälle auf das Konto verschiedener Angreifergruppen wie LockBit, BlackCat und Mallox gehen. Insbesondere beim Ransomware-Angriff auf das VNDIRECT-System am 24. März um 10:00 Uhr, bei dem alle Daten der drei größten Unternehmen des vietnamesischen Aktienmarktes verschlüsselt wurden, identifizierten die Behörden die LockBit-Gruppe mit der Malware LockBit 3.0 als Urheber dieses Angriffs.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Das Nationale Zentrum für Cybersicherheit, Abteilung A05 ( Ministerium für Öffentliche Sicherheit ), bestätigte, dass der Angriff auf das Wertpapierunternehmenssystem VNDIRECT im März 2024 von LockBit 3.0 durchgeführt wurde.

Weltweit hat die LockBit-Gruppe zahlreiche Ransomware-Angriffe auf große Unternehmen und Organisationen verübt. Beispielsweise griff diese berüchtigte Ransomware-Gruppe im Juni und Oktober 2023 den Halbleiterhersteller TSMC (Taiwan, China) und das IT-Unternehmen CDW an und forderte Lösegelder in Höhe von bis zu 70 bis 80 Millionen US-Dollar.

Mit dem Ziel, Behörden, Organisationen und Unternehmen in Vietnam ein besseres Verständnis für das Gefahrenpotenzial von Ransomware-Angriffen im Allgemeinen sowie von Angriffen der LockBit-Gruppe zu vermitteln und die Risiken zu minimieren, hat das Nationale Zentrum für die Überwachung der Cybersicherheit (NCSC) unter der Abteilung für Informationssicherheit (Ministerium für Information und Kommunikation) Informationsquellen zum Thema Cyberspace zusammengetragen und den „Analysebericht über die Ransomware LockBit 3.0“ veröffentlicht.

Die gefährlichste Ransomware-Gruppe der Welt

Der neue Bericht des NCSC konzentriert sich auf vier Hauptinhalte: Informationen über die LockBit-Ransomware-Angriffsgruppe; Aktive LockBit-Cluster; Liste der erfassten Indikatoren für Cyberangriffe im Zusammenhang mit LockBit 3.0; Wie man Ransomware-Angriffe verhindern und deren Risiken minimieren kann.

Der NCSC-Bericht bezeichnet LockBit als eine der gefährlichsten Ransomware-Gruppen weltweit und stellt fest, dass die Gruppe seit ihrem ersten Auftreten im Jahr 2019 zahlreiche Angriffe auf Unternehmen und Organisationen verschiedenster Branchen verübt hat. LockBit operiert nach dem Modell „Ransomware-as-a-Service (RaaS)“, das es Angreifern ermöglicht, Ransomware zu verbreiten und die Gewinne mit den Betreibern des Dienstes zu teilen.

lockbit ransomware.jpg
Laut Experten ist LockBit eine der gefährlichsten Ransomware-Gruppen der Welt. Illustration: Bkav

Im September 2022 wurde der Quellcode von LockBit 3.0, einschließlich einiger Namen, die zur Entwicklung dieser Ransomware verwendet werden könnten, von einer Person namens „ali_qushji“ auf der X-Plattform (ehemals Twitter) veröffentlicht. Diese Veröffentlichung ermöglichte es Experten, die LockBit-3.0-Ransomware genauer zu analysieren. Seitdem haben Cyberkriminelle jedoch eine Welle neuer Ransomware-Varianten auf Basis des Quellcodes von LockBit 3.0 entwickelt.

Neben der Analyse der Angriffsmethoden aktiver LockBit-Ransomware-Cluster wie TronBit, CryptomanGizmo oder Tina Turner stellt der NCSC-Bericht den zuständigen Stellen auch eine Liste erfasster Indikatoren für Cyberangriffe im Zusammenhang mit LockBit 3.0 zur Verfügung. „Wir werden die Informationen zu den IOC-Indikatoren auf der Seite alert.khonggianmang.vn des nationalen Cyberspace-Portals kontinuierlich aktualisieren“, so ein NCSC-Experte.

Ein besonders wichtiger Bestandteil des „LockBit 3.0 Ransomware-Analyseberichts“ sind die Hinweise für Behörden, Organisationen und Unternehmen zur Prävention und Risikominimierung von Ransomware-Angriffen. Wichtige Hinweise zur Unterstützung von Einheiten in Vietnam bei der Prävention und Reaktion auf Ransomware-Angriffe wurden vom Ministerium für Informationssicherheit im „Handbuch zu Maßnahmen zur Prävention und Risikominimierung von Ransomware-Angriffen“ vom 6. April veröffentlicht und werden weiterhin von Experten des NCSC zur Umsetzung empfohlen.

W-anti-ransomware-1.jpg
Die kontinuierliche Überwachung zur frühzeitigen Erkennung von Systemangriffen ist eine von neun Maßnahmen, die die Abteilung für Informationssicherheit Unternehmen zur Prävention von Ransomware-Angriffen empfiehlt. Illustrationsfoto: Khanh Linh

Experten zufolge gehen Ransomware-Angriffe heutzutage häufig von Sicherheitslücken in Behörden oder Organisationen aus. Angreifer dringen in das System ein, halten sich dort dauerhaft auf, weiten den Angriff aus, übernehmen die Kontrolle über die IT-Infrastruktur der Organisation und legen das System lahm. Ziel ist es, die betroffenen Organisationen zur Zahlung eines Lösegelds zu zwingen, um die verschlüsselten Daten wiederherstellen zu können.

Ein Vertreter der Abteilung für Informationssicherheit, der sich zum Zeitpunkt des Angriffs auf das VNDIRECT-System vor 5 Tagen gegenüber Reportern von VietNamNet äußerte, kommentierte aus der Perspektive der Einheit, die an der Koordinierung der Maßnahmen zur Reaktion auf den Vorfall beteiligt war: Dieser Vorfall ist eine wichtige Lektion, um das Bewusstsein für die Netzwerksicherheit von Organisationen und Unternehmen in Vietnam zu schärfen.

Daher müssen Behörden, Organisationen und Unternehmen, insbesondere solche, die in wichtigen Bereichen wie Finanzen, Bankwesen, Wertpapierhandel, Energie, Telekommunikation usw. tätig sind, dringend und proaktiv sowohl die bestehenden Sicherheitssysteme als auch das Fachpersonal überprüfen und stärken und gleichzeitig Notfallpläne entwickeln.

„Organisationen müssen die geltenden Vorschriften, Anforderungen und Richtlinien zur Informations- und Netzwerksicherheit strikt einhalten. Es liegt in der Verantwortung jeder Organisation und jedes Unternehmens, sich selbst und seine Kunden vor potenziellen Cyberangriffen zu schützen“, betonte ein Vertreter der Abteilung für Informationssicherheit.

Die LockBit-Ransomware war zunächst unter dem Namen ABCD bekannt, benannt nach der verschlüsselten Dateiendung. Wenige Monate später tauchte eine Variante von ABCD mit dem heutigen Namen Lockbit auf. Ein Jahr später veröffentlichte die Gruppe eine verbesserte Version, LockBit 2.0 (auch bekannt als LockBit Red), die eine weitere integrierte Schadsoftware namens StealBit zum Diebstahl sensibler Daten enthielt. LockBit 3.0, auch bekannt als LockBit Black, ist die neueste Version, die 2022 mit neuen Funktionen und verbesserten Umgehungstechniken veröffentlicht wurde.
Warum kann sich das PVOIL-System nach einem Ransomware-Angriff schnell erholen?

Warum kann sich das PVOIL-System nach einem Ransomware-Angriff schnell erholen?

Neben der nicht allzu großen Systemgröße ist die Verfügbarkeit von Backup-Daten ein wichtiger Faktor für PVOIL, um den Ransomware-Angriff schnell zu beheben und den Betrieb nach nur wenigen Tagen wiederherzustellen.
Aufbau einer Sicherheitskultur zur Verbesserung der Abwehr von Ransomware-Angriffen

Aufbau einer Sicherheitskultur zur Verbesserung der Abwehr von Ransomware-Angriffen

Laut CDNetworks Vietnam können Unternehmen durch Investitionen in die Mitarbeiterschulung, die Schaffung einer Sicherheitskultur und die Förderung der Zusammenarbeit zwischen Personalabteilung und Sicherheitsteams ihre Abwehr gegen Cyberangriffe, einschließlich Ransomware-Angriffe, verbessern.
Die Zahlung von Lösegeld für Daten wird Hacker dazu ermutigen, ihre Ransomware-Angriffe zu verstärken

Die Zahlung von Lösegeld für Daten wird Hacker dazu ermutigen, ihre Ransomware-Angriffe zu verstärken

Experten sind sich einig, dass Organisationen, die von Ransomware angegriffen werden, kein Lösegeld an Hacker zahlen sollten. Dies würde Hacker dazu ermutigen, andere Ziele anzugreifen oder andere Hackergruppen dazu anregen, ihre eigenen Systeme weiterhin anzugreifen.