Veröffentlichung des LockBit 3.0 Ransomware-Analyseberichts.

Zwischen dem 24. März und der ersten Aprilwoche dieses Jahres wurde der vietnamesische Cyberspace Zeuge einer Reihe gezielter Ransomware-Angriffe auf große vietnamesische Unternehmen in kritischen Sektoren wie Finanzen, Wertpapierhandel, Energie und Telekommunikation. Diese Angriffe führten zu zeitweiligen Systemausfällen und verursachten erhebliche wirtschaftliche Verluste sowie Reputationsschäden bei den betroffenen Unternehmen.

Durch die Analyse und Untersuchung der Ursachen und Gruppen, die in jüngster Zeit die Informationssysteme vietnamesischer Unternehmen angegriffen haben, stellten die Behörden fest, dass diese Vorfälle auf verschiedene Angreifergruppen wie LockBit, BlackCat, Mallox usw. zurückzuführen sind. Insbesondere im Hinblick auf den Ransomware-Angriff auf das System von VNDIRECT am 24. März um 10:00 Uhr, bei dem alle Daten eines der drei größten Unternehmen an der vietnamesischen Börse verschlüsselt wurden, identifizierten die Behörden LockBit und dessen Malware LockBit 3.0 als Täter.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Das Nationale Zentrum für Cybersicherheit, Abteilung A05 ( Ministerium für Öffentliche Sicherheit ), hat bestätigt, dass der Angriff auf das System des Wertpapierunternehmens VNDIRECT im März 2024 von LockBit 3.0 durchgeführt wurde.

Weltweit hat die LockBit-Gruppe zahlreiche Ransomware-Angriffe auf große Unternehmen und Organisationen verübt. Beispielsweise griff diese berüchtigte Ransomware-Gruppe im Juni und Oktober 2023 den Halbleiterhersteller TSMC (Taiwan, China) und das IT-Produkt- und Dienstleistungsunternehmen CDW an und forderte von diesen Unternehmen Lösegelder in Höhe von bis zu 70–80 Millionen US-Dollar.

Mit dem Ziel, Behörden, Organisationen und Unternehmen in Vietnam ein besseres Verständnis des Gefahrenpotenzials zu vermitteln und ihnen Wege aufzuzeigen, wie sie Risiken durch Ransomware-Angriffe im Allgemeinen und durch Angriffe der LockBit-Gruppe im Besonderen verhindern und mindern können, hat das Nationale Zentrum für Cybersicherheitsüberwachung (NCSC) unter der Abteilung für Informationssicherheit (Ministerium für Information und Kommunikation) Informationen aus Online-Quellen zusammengetragen und den „Analysebericht über LockBit 3.0 Ransomware“ veröffentlicht.

Die gefährlichste Ransomware-Gruppe der Welt.

Der neue Bericht des NCSC konzentriert sich auf vier Hauptpunkte: Informationen über die LockBit-Ransomware-Angriffsgruppe; Aktive LockBit-Cluster; Eine Liste der aufgezeichneten Indikatoren für LockBit 3.0-bezogene Cyberangriffe; und Methoden zur Verhinderung und Minderung von Risiken durch Ransomware-Angriffe.

Der NCSC-Bericht identifiziert LockBit als eine der weltweit führenden Ransomware-Gruppen und stellt fest, dass diese seit ihrem ersten Auftreten im Jahr 2019 zahlreiche Angriffe auf Unternehmen und Organisationen verschiedenster Branchen verübt hat. Die Gruppe operiert nach dem Modell „Ransomware-as-a-Service (RaaS)“, das es Angreifern ermöglicht, Ransomware zu verbreiten und die Gewinne mit den Betreibern des Dienstes zu teilen.

ransomware lockbit.jpg
Laut Experten zählt LockBit zu den gefährlichsten Ransomware-Gruppen weltweit. (Illustration: Bkav)

Im September 2022 wurde der Quellcode von LockBit 3.0, einschließlich mehrerer Namen, die zur Entwicklung dieser Ransomware verwendet werden könnten, von einer Person namens „ali_qushji“ auf der X-Plattform (ehemals Twitter) veröffentlicht. Diese Veröffentlichung ermöglichte es Experten, die LockBit-3.0-Ransomware genauer zu analysieren. Seitdem haben Cyberkriminelle jedoch eine Welle neuer Ransomware-Varianten auf Basis des LockBit-3.0-Quellcodes entwickelt.

Neben der Analyse der Angriffsmethoden aktiver LockBit-Ransomware-Cluster wie TronBit, CryptomanGizmo und Tina Turnet stellt der NCSC-Bericht den zuständigen Behörden auch eine Liste erfasster Indikatoren für intelligente operative Kriminalität (IOC) im Zusammenhang mit LockBit 3.0 zur Verfügung. „Wir werden die IOC-Indikatoren auf der Seite alert.khonggianmang.vn des nationalen Cybersicherheitsportals kontinuierlich aktualisieren“, erklärte ein NCSC-Experte.

Ein besonders wichtiger Abschnitt des „LockBit 3.0 Ransomware-Analyseberichts“ enthält Hinweise für Behörden, Organisationen und Unternehmen zur Prävention und Risikominderung von Ransomware-Angriffen. Wichtige Hinweise zur Unterstützung vietnamesischer Einrichtungen bei der Prävention und Reaktion auf Ransomware-Angriffe, wie sie vom Cybersecurity Department im „Handbuch zu Maßnahmen zur Prävention und Risikominderung von Ransomware-Angriffen“ vom 6. April dargelegt wurden, werden von den Experten des NCSC weiterhin zur Umsetzung empfohlen.

W-phong-chong-tan-cong-ransomware-1.jpg
Die kontinuierliche Überwachung zur frühzeitigen Erkennung von Systemangriffen ist eine von neun Maßnahmen, die die Cybersecurity Agency Unternehmen zur Verhinderung von Ransomware-Angriffen empfiehlt. (Illustration: Khanh Linh)

Experten zufolge entstehen aktuelle Ransomware-Angriffe häufig aus Sicherheitslücken innerhalb von Organisationen. Angreifer dringen in das System ein, halten sich dort fest, weiten ihre Reichweite aus, kontrollieren die IT-Infrastruktur der Organisation und legen das System lahm, um die betroffenen Organisationen zur Zahlung eines Lösegelds für die Wiederherstellung ihrer verschlüsselten Daten zu zwingen.

Fünf Tage nach dem Angriff auf das VNDIRECT-System erklärte ein Vertreter der Abteilung für Informationssicherheit gegenüber Reportern von VietNamNet aus der Perspektive der Einheit, die die Reaktion auf den Vorfall koordinierte: „Dieser Vorfall ist eine wichtige Lektion, um das Bewusstsein für Cybersicherheit bei Organisationen und Unternehmen in Vietnam zu schärfen.“

Daher müssen Behörden, Organisationen und Unternehmen, insbesondere solche, die in kritischen Sektoren wie Finanzen, Bankwesen, Wertpapierhandel, Energie und Telekommunikation tätig sind, dringend und proaktiv sowohl ihre bestehenden Sicherheitssysteme als auch ihr Personal überprüfen und stärken und gleichzeitig Notfallpläne entwickeln.

„Organisationen müssen die geltenden Vorschriften, Anforderungen und Richtlinien zur Informations- und Cybersicherheit strikt einhalten. Es liegt in der Verantwortung jeder Organisation und jedes Unternehmens, sich selbst und seine Kunden vor potenziellen Cyberangriffsrisiken zu schützen“, betonte ein Vertreter der Abteilung für Informationssicherheit.

Die LockBit-Ransomware war ursprünglich unter dem Namen ABCD bekannt, benannt nach der verschlüsselten Dateiendung. Nach einigen Monaten erschien eine Variante von ABCD unter dem heutigen Namen Lockbit. Ein Jahr später veröffentlichte die Gruppe eine verbesserte Version, LockBit 2.0 (auch bekannt als LockBit Red), die eine weitere integrierte Schadsoftware namens StealBit enthielt, die auf den Diebstahl sensibler Daten abzielte. LockBit 3.0 oder LockBit Black ist die neueste Version, die 2022 veröffentlicht wurde und neue Funktionen sowie fortschrittliche Sicherheitsumgehungstechniken bietet.
Warum konnte sich das PVOIL-System nach einem Ransomware-Angriff so schnell erholen?

Warum konnte sich das PVOIL-System nach einem Ransomware-Angriff so schnell erholen?

Neben der vergleichsweise geringen Systemgröße war ein entscheidender Faktor, der es PVOIL ermöglichte, den Ransomware-Angriff schnell zu beheben und den Betrieb innerhalb weniger Tage wiederherzustellen, die vorhandenen Sicherungsdaten.
Entwickeln Sie eine Sicherheitskultur, um die Abwehr gegen Ransomware-Angriffe zu verbessern.

Entwickeln Sie eine Sicherheitskultur, um die Abwehr gegen Ransomware-Angriffe zu verbessern.

Laut CDNetworks Vietnam können Unternehmen durch Investitionen in die Mitarbeiterschulung, die Förderung einer Sicherheitskultur und die Stärkung der Zusammenarbeit zwischen Mitarbeitern und Sicherheitsteams ihre Abwehr gegen Cyberangriffe, einschließlich Ransomware-Angriffe, verbessern.
Die Zahlung von Lösegeld für Daten wird Hacker dazu ermutigen, Ransomware-Angriffe zu verstärken.

Die Zahlung von Lösegeld für Daten wird Hacker dazu ermutigen, Ransomware-Angriffe zu verstärken.

Experten sind sich einig, dass Organisationen, die von Ransomware-Angriffen betroffen sind, das Lösegeld nicht an die Hacker zahlen sollten. Dies würde die Hacker dazu ermutigen, andere Ziele anzugreifen oder andere Hackergruppen zu erneuten Angriffen auf die Systeme der Organisation animieren.