LockBit 3.0 Ransomware-Analysebericht veröffentlicht

In den drei Wochen vom 24. März bis zur ersten Aprilwoche dieses Jahres wurden im vietnamesischen Cyberspace aufeinanderfolgende gezielte Angriffe in Form von Ransomware auf große vietnamesische Unternehmen registriert, die in wichtigen Bereichen wie Finanzen, Wertpapiere, Energie, Telekommunikation usw. tätig sind. Diese Angriffe führten dazu, dass die Systeme der Unternehmen für einen bestimmten Zeitraum lahmgelegt wurden, was den Einheiten, deren Systeme von Cyberkriminellen angegriffen wurden, erheblichen wirtschaftlichen Schaden und einen erheblichen Reputationsschaden zufügte.

Im Zuge der Analyse und Untersuchung der Ursachen und Tätergruppen, die vor Kurzem die Informationssysteme vietnamesischer Unternehmen angegriffen haben, stellten die Behörden fest, dass diese Vorfälle „Produkte“ vieler verschiedener Angriffsgruppen wie LockBit, BlackCat, Mallox usw. waren. Insbesondere beim Ransomware-Angriff auf das VNDIRECT-System am 24. März um 10:00 Uhr, bei dem sämtliche Daten der drei größten Unternehmen der vietnamesischen Börse verschlüsselt wurden, identifizierten die Behörden die LockBit-Gruppe mit der Schadsoftware LockBit 3.0 als Drahtzieher dieses Vorfalls.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Das Nationale Cybersicherheitszentrum, Abteilung A05 ( Ministerium für öffentliche Sicherheit ), bestätigte, dass der Angriff auf das System der Wertpapierfirma VNDIRECT im März 2024 von LockBit 3.0 ausgeführt wurde.

Weltweit hat die LockBit-Gruppe zahlreiche Ransomware-Angriffe auf große Unternehmen und Organisationen gestartet. So griff diese berüchtigte Ransomware-Gruppe beispielsweise im Juni bzw. Oktober 2023 den Halbleiterhersteller TSMC (Taiwan, China) und das IT-Unternehmen CDW an. Die Lockbit-Gruppe forderte von den Unternehmen Lösegeld in Höhe von bis zu 70 bis 80 Millionen US-Dollar.

Mit dem Wunsch, Behörden, Organisationen und Unternehmen in Vietnam dabei zu helfen, das Gefahrenniveau besser zu verstehen und die Risiken von Ransomware-Angriffen im Allgemeinen sowie Angriffen der LockBit-Gruppe zu verhindern und zu minimieren, hat das National Cyber ​​Security Monitoring Center (NCSC) der Abteilung für Informationssicherheit (Ministerium für Information und Kommunikation) gerade Informationsquellen zum Cyberspace zusammengefasst und den „Analysebericht zur Ransomware LockBit 3.0“ veröffentlicht.

Die gefährlichste Ransomware-Gruppe der Welt

Der neue Bericht des NCSC konzentriert sich auf die Bereitstellung von vier Hauptinhalten, darunter: Informationen zur LockBit-Ransomware-Angriffsgruppe; aktive LockBit-Cluster; Liste der aufgezeichneten Cyberangriffsindikatoren im Zusammenhang mit LockBit 3.0; So können Sie Risiken durch Ransomware-Angriffe verhindern und minimieren.

Der NCSC-Bericht bezeichnet LockBit als eine der gefährlichsten Ransomware-Gruppen weltweit und weist darauf hin, dass LockBit seit seinem ersten Auftreten im Jahr 2019 zahlreiche Angriffe auf Unternehmen und Organisationen verschiedener Branchen durchgeführt hat. Die Gruppe arbeitet nach einem „Ransomware-as-a-Service (RaaS)“-Modell, das es Bedrohungsakteuren ermöglicht, Ransomware einzusetzen und Gewinne mit den Verantwortlichen zu teilen.

Ransomware lockbit.jpg
Laut Experten ist LockBit eine der gefährlichsten Ransomware-Gruppen weltweit. Abbildung: Bkav

Im September 2022 wurde der Quellcode von LockBit 3.0, einschließlich einiger Namen, die für die Entwicklung dieser Ransomware verwendet werden könnten, von einer Person namens „ali_qushji“ auf der X-Plattform (ehemals Twitter) geleakt. Das Leck ermöglichte es Experten, das LockBit 3.0-Ransomware-Beispiel genauer zu analysieren. Seitdem haben Bedrohungsakteure jedoch eine Welle neuer Ransomware-Varianten basierend auf dem Quellcode von LockBit 3.0 entwickelt.

Neben der Analyse der Angriffsmethoden aktiver LockBit-Ransomware-Cluster wie TronBit, CriptomanGizmo oder Tina Turnet liefert der NCSC-Bericht den Einheiten auch eine Liste der aufgezeichneten Cyberangriffsindikatoren im Zusammenhang mit LockBit 3.0. „Wir werden die IOC-Indikatorinformationen auf der Seite alert.khonggianmang.vn des nationalen Cyberspace-Portals kontinuierlich aktualisieren“, sagte ein NCSC-Experte.

Ein besonders wichtiger Bestandteil des „LockBit 3.0 Ransomware Analysis Report“ sind die Inhalte, die Behörden, Organisationen und Unternehmen bei der Prävention und Minimierung von Risiken durch Ransomware-Angriffe unterstützen. Wichtige Hinweise zur Unterstützung von vietnamesischen Einheiten bei der Prävention und Reaktion auf Ransomware-Angriffe wurden vom Ministerium für Informationssicherheit im „Handbuch über einige Maßnahmen zur Prävention und Minimierung von Risiken durch Ransomware-Angriffe“ vom 6. April erwähnt und werden von NCSC-Experten weiterhin zur Umsetzung empfohlen.

W-Anti-Ransomware-Angriff-1.jpg
Kontinuierliche Überwachung zur frühzeitigen Erkennung von Systemeinbrüchen ist eine von neun Maßnahmen, die das Ministerium für Informationssicherheit Unternehmen empfiehlt, um Ransomware-Angriffe zu verhindern. Bild: Khanh Linh

Experten zufolge gehen Ransomware-Angriffe heutzutage häufig von einer Sicherheitslücke einer Behörde oder Organisation aus. Angreifer dringen in das System ein, bleiben dort präsent, weiten den Angriffsumfang aus, kontrollieren die IT-Infrastruktur der Organisation und legen das System lahm. Ziel ist es, die betroffenen Organisationen zur Zahlung eines Lösegelds zu zwingen, um verschlüsselte Daten wiederherzustellen.

Als sich vor fünf Tagen der Angriff auf das VNDIRECT-System ereignete, teilte ein Vertreter der Abteilung für Informationssicherheit den Reportern von VietNamNet mit, dass dieser Vorfall eine wichtige Lektion sei, um das Bewusstsein für die Netzwerksicherheit von Organisationen und Unternehmen in Vietnam zu schärfen. Aus der Perspektive der Einheit, die an der Koordinierung der Unterstützungsaktivitäten zur Reaktion auf Vorfälle beteiligt ist, sagte er:

Daher müssen Behörden, Organisationen und Unternehmen – insbesondere jene, die in wichtigen Bereichen wie Finanzen, Bankwesen, Wertpapierwesen, Energie, Telekommunikation usw. tätig sind – dringend und proaktiv sowohl die vorhandenen Sicherheitssysteme als auch das Fachpersonal überprüfen und stärken und gleichzeitig Notfallpläne entwickeln.

„Organisationen müssen die geltenden Vorschriften, Anforderungen und Richtlinien zur Informations- und Netzwerksicherheit strikt einhalten. Es liegt in der Verantwortung jeder Organisation und jedes Unternehmens, sich selbst und ihre Kunden vor potenziellen Cyberangriffen zu schützen“, betonte ein Vertreter der Abteilung für Informationssicherheit.

Die LockBit-Ransomware war zunächst als ABCD bekannt, benannt nach der verschlüsselten Dateierweiterung. Einige Monate später tauchte eine Variante von ABCD mit dem heutigen Namen Lockbit auf. Ein Jahr später veröffentlichte die Gruppe eine aktualisierte Version, LockBit 2.0 (auch bekannt als LockBit Red), die eine weitere integrierte Schadsoftware namens StealBit zum Diebstahl sensibler Daten enthielt. LockBit 3.0, auch bekannt als LockBit Black, ist die neueste Version, die 2022 mit neuen Funktionen und verbesserten Umgehungstechniken veröffentlicht wurde.
Warum kann sich das PVOIL-System nach einem Ransomware-Angriff schnell erholen?

Warum kann sich das PVOIL-System nach einem Ransomware-Angriff schnell erholen?

Neben der nicht allzu großen Systemgröße ist die Verfügbarkeit von Backup-Daten ein wichtiger Faktor für PVOIL, um den Ransomware-Angriff schnell zu beheben und den Betrieb nach nur wenigen Tagen wiederherzustellen.
Schaffung einer Sicherheitskultur zur Verbesserung der Abwehr von Ransomware-Angriffen

Schaffung einer Sicherheitskultur zur Verbesserung der Abwehr von Ransomware-Angriffen

Laut CDNetworks Vietnam können Unternehmen ihre Abwehr gegen Cyberangriffe, einschließlich Ransomware-Angriffe, verbessern, indem sie in die Schulung ihrer Mitarbeiter investieren, eine Sicherheitskultur schaffen und die Zusammenarbeit zwischen Mitarbeitern und Sicherheitsteam fördern.
Die Zahlung von Lösegeld wird Hacker dazu ermutigen, ihre Ransomware-Angriffe zu verstärken

Die Zahlung von Lösegeld wird Hacker dazu ermutigen, ihre Ransomware-Angriffe zu verstärken

Experten sind sich einig, dass Organisationen, die von Ransomware angegriffen werden, das Lösegeld nicht an Hacker zahlen sollten. Dies würde Hacker ermutigen, andere Ziele anzugreifen oder andere Hackergruppen ermutigen, ihr System weiterhin anzugreifen.