Kontexte
Der LockBit-Ransomware-Virus feierte sein offizielles Debüt im September 2019 und wurde als "ABCD"-Ransomware bezeichnet, weil er die Endung .abcd zur Kennzeichnung verschlüsselter Opferdateien verwendet. Frühe Versionen von LockBit 1.0 waren sehr unausgereift, und die Verschlüsselungssoftware verwendete nicht nur feste gegenseitige Ausschlusssperren im Prozess, sondern hinterließ sogar einige Debug-Funktionen, die von Antiviren-Software, Sandboxen und anderer Sicherheitssoftware leicht erkannt und abgefangen werden konnten.
Als die Organisation an Größe zunahm, begann LockBit 1.0, nach einem RaaS-Modell (Ransomware-as-a-Service-Ransomware und -Services) zu operieren, bei dem Ransomware-Tools zur Verwendung durch andere böswillige Akteure entwickelt und verteilt werden, und warb für sein Kooperationsprogramm in einem bekannten russischsprachigen Forum, XSS.
Acht Monate später verbesserten die Betreiber von LockBit 1.0 ihre Ransomware-Taktik, indem sie eine Website einrichteten, auf der die Daten des Opfers öffentlich zugänglich gemacht wurden, verbunden mit einer Dateiverschlüsselung, um das Opfer weiter unter Druck zu setzen und ein "doppeltes Lösegeld" zu verlangen.
Nach mehreren kleineren Upgrades ist LockBit 1.0 ausgefeilter als andere Ransomware. Der Verschlüsselungsprozess für Windows-Systeme verwendet den RSA- und AES-Algorithmus, um Dateien zu verschlüsseln, und nutzt den IOCP-Abschlussport und den AES-NI-Befehlssatz, um die Effizienz zu verbessern und so einen leistungsstarken Verschlüsselungsprozess zu erreichen.
LockBit ransomware 1.0, vor allem durch die Änderung des System-Desktop-Hintergrunds des Opfers, um Lösegeld-Nachrichten anzuzeigen und eine Lösegeld-Notiz namens Restore-My-Files.txt zu hinterlassen, die das Opfer auffordert, sich im Dark Web anzumelden und das Lösegeld in Bitcoin oder Monroe Coin zu zahlen.
Später wurde die Gruppe durch mehrere aufsehenerregende Angriffe bekannt. So brachte sie im Juni 2022 die Version 3.0 von LockBit auf den Markt und lud Sicherheitsforscher dazu ein, ihre Software zu testen und zu verbessern, indem sie eine Prämie für Sicherheitslücken auslobte. Das Angebot von Belohnungen für die Entdeckung von Systemschwachstellen ist ein einzigartiger Ansatz bei Ransomware.
Seit der Aufnahme seiner Tätigkeit hat LockBit einen wesentlichen Beitrag zurNetzwerksicherheitDie Auswirkungen sind beträchtlich, da die Angriffe oft zum Diebstahl sensibler Daten und zu finanziellen Verlusten für die geschädigte Partei führen.
"Brillante" Geschichte
Bis Mai 2022 ist LockBit auf dem Vormarsch und durchdringt die Verteidigungssysteme von mehr als 850 Unternehmen weltweit, was 46% aller Ransomware-Angriffe im gleichen Zeitraum ausmacht.
RaaS-Agentenmodell:
Angriffsstil:
Nach Angaben des Cybersicherheitsunternehmens Dragos wurde etwa ein Drittel der Ransomware-Angriffe auf Industriesysteme im zweiten Quartal 2022 von LockBit gestartet, wobei eine Reihe großer Unternehmen im Bereich der industriellen Steuerung betroffen war. Und Deep Instinct berichtet, dass LockBit etwa 44% der gesamten Ransomware-Angriffe in der ersten Hälfte des Jahres 2022 durchgeführt hat.
In nur drei Jahren hat die LockBit-Ransomware-Bande bereits mehr als tausend Opfer gefordert, doppelt so viele wie die altgediente Ransomware-Gruppe Conti und mehr als fünfmal so viele wie Revil.
Es ist auch erwähnenswert, dass die Lösegeld-Erwerbsrate der LockBit-Lösegeldorganisation höher ist als bei vielen etablierten Lösegeldorganisationen. Im Jahr 2022 hat die Organisation eine Erfolgsquote von mehr als der Hälfte ihrer Lösegeldforderungen in Höhe von 100 Millionen Dollar und erschreckt damit zahlreiche Unternehmen.
Status quo
Vor diesem Hintergrund hat die Gruppe die Aufmerksamkeit von Strafverfolgungsbehörden auf der ganzen Welt auf sich gezogen.2022 Im November erhob das US-Justizministerium Anklage gegen Mikhail Vasiliev, der die doppelte russische und kanadische Staatsbürgerschaft besitzt, wegen mutmaßlicher Beteiligung an der LockBit-Ransomware-Operation. Der Mann befindet sich derzeit in Kanada in Haft und wartet auf seine Auslieferung in die Vereinigten Staaten.
Im Mai wurde der russische Staatsangehörige Mikhail Pavlovich Matveev (30), auch bekannt als Wazawaka, m1x, Boriselcin und Uhodiransomwar, vom US-Justizministerium der Beteiligung an mehreren Ransomware-Angriffen beschuldigt.
Das US-Justizministerium hat zwei Anklageschriften veröffentlicht, in denen dem Mann vorgeworfen wird, drei verschiedene Arten von Ransomware eingesetzt zu haben, um zahlreiche Opfer in den USA anzugreifen, darunter Strafverfolgungsbehörden in Washington DC und New Jersey sowie Organisationen des Gesundheitswesens und anderer Branchen im ganzen Land:
- Am oder um den 25. Juni 2020 griffen Matveev und seine LockBit-Mitverschwörer eine Strafverfolgungsbehörde in Passaic County, New Jersey, an;
- Am 26. April 2021 waren Matveev und sein Babuk an einem Anschlag auf das Metropolitan Police Department in Washington, DC, beteiligt;
- Am oder um den 27. Mai 2022 griffen Matveev und seine Hive-Mitverschwörer eine gemeinnützige Organisation für verhaltensorientierte Gesundheitsfürsorge in New Jersey an.
- Am 19. Februar 2024 wurde die berüchtigte LockBit-Website in einer gemeinsamen Operation der britischen National Crime Agency, des US Federal Bureau of Investigation, von Europol und der International Coalition of Police Agencies beschlagnahmt.
treasury.gov veröffentlicht relevante Sanktionsinformationen zu Personalinformationen, BTC- und ETH-Adressen und mehr:
Wir haben MistTrack verwendet, um die Finanzierung für die sanktionierte ETH-Adresse (0xf3701f445b6bdafedbca97d1e477357839e4120d) zu prüfen:
Die Analyse ergab, dass die Gelder auf dieser ETH-Adresse gewaschen worden waren.
Wir haben dann den Status der sanktionierten BTC-Adressen analysiert und festgestellt, dass die frühesten Transaktionen an diesen Adressen auf Oktober 2019 zurückgehen, die jüngsten Transaktionen auf März 2023, und dass die entsprechenden Gelder an jede Adresse überwiesen wurden.
Die Adresse, an die der größte Betrag überwiesen wurde, war 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5, die Adresse des LockBit-Mitglieds Artur Sungatov, die von MistTrack als Binance-Einzahlungsadresse erkannt wurde, und die Gelder wurden überwiesen.
Zweitens wurde der Betrag von 52,7892 BTC an die Adresse 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM überwiesen, die die Adresse von Ivan Kondratyev ist, einem Mitglied von LockBit, und die von MistTrack als die Adresse des Kucoin Deposit gekennzeichnet wurde, und die den Transfer von 0,4323 BTC von einer anderen sanktionierten Adresse, der Adresse bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6, erhielt. Die Adresse bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6 überwies 0,4323 BTC.
Die US-Regierung hat in Zusammenarbeit mit dem Vereinigten Königreich und Europol weitere Informationen über die Ransomware-Organisation LockBit veröffentlicht und enthüllt, dass LockBit über 193 Niederlassungen verfügt:
das Geheimnis der Verhaftung
Nach Angaben eines Sprechers der britischen National Crime Agency wurden die Dienste von LockBit im Rahmen einer laufenden und sich entwickelnden Operation unterbrochen. Die Operation ist die jüngste in einem mehrjährigen Kampf zwischen Strafverfolgungsbehörden und Lösegeldbanden. Sie versetzt den jüngsten grenzüberschreitenden Lösegeldoperationen von LockBit einen schweren Schlag und dient als wirksame Abschreckung gegen die wachsende Zahl von Lösegeldangriffen.
Wenn wir uns die Knotenpunkte von LockBit ansehen, ist jede bekannte Website der LockBit-Ransomware-Organisation entweder offline oder zeigt Seiten an, die von EUROPOL beschlagnahmt worden sind. Die Strafverfolgungsbehörden haben im Rahmen der so genannten Operation Kronos mindestens 22 Tor-Seiten beschlagnahmt oder abgebaut.
Daraufhin bestätigten die Verantwortlichen der LockBit Ransomware Group gegenüber den Medien, dass ihre Website beschlagnahmt worden war:
Es scheint jedoch, dass die Beschlagnahmung nicht das Kernpersonal von LockBit betraf, da die LockBit-Ransomware-Organisation anschließend eine Nachricht an Einzelpersonen auf Tox veröffentlichte: "Das FBI hat sich an Servern mit PHP zu schaffen gemacht, alternative Server ohne PHP waren nicht betroffen."
Die LockBit-Führung erklärte heute: "Wir haben mit Führungskräften der LockBit-Ransomware-Organisation über die Ankündigung der Strafverfolgungsbehörden gesprochen, dass die LockBit-Führung am Freitag, den 23. Februar 2024, veröffentlicht werden soll.
LockBit antwortete: "Sollen sie es doch verraten, ich bin mir sicher, dass sie meine Identität nicht kennen". Die LockBit-Ransomware-Gruppe änderte daraufhin ihren Namen in "FBI Supp", um die Strafverfolgungsbehörden zu verspotten:
Laut @vxunderground sieht es nun so aus, als ob der ultimative Drahtzieher noch nicht gefasst wurde, auch wenn LockBit öffentlich eine größere Belohnung für die Öffentlichkeit auslobt, um sich selbst zu finden.
Zu diesem Zeitpunkt wird die Geschichte immer besser, da die Strafverfolgungsbehörden angeblich in den kommenden Tagen weitere Informationen über die LockBit-Organisation veröffentlichen werden.
Was ist die Folge davon? Wir werden sehen.
Zusammenfassungen
Die Razzia ist die jüngste in einer Reihe von Strafverfolgungsinitiativen gegen Ransomware-Banden. Ende letzten Jahres hatten das FBI und andere Behörden erfolgreich die Netzwerke und Infrastruktur mehrerer Ransomware-Banden zerschlagen, darunter Qakbot und Ragnar Locker.
Auf der kürzlich stattgefundenen Münchner Cybersecurity-Konferenz betonte der stellvertretende Generalstaatsanwalt der Vereinigten Staaten das Engagement der Vereinigten Staaten im Kampf gegen Ransomware und Cyberkriminalität und deutete an, dass sie eine schnellere und proaktivere Strategie zur Verhinderung und Unterbrechung dieser kriminellen Aktivitäten verfolgen werden.
Mit der Entwicklung digitaler Technologien ist die Cyberkriminalität, die sich auf Kryptowährungen stützt, zu einer großen globalen Herausforderung geworden. Cyberkriminalität, wie z. B. Ransomware, bringt nicht nur Verluste für Einzelpersonen und Unternehmen mit sich, sondern stellt auch ein ernstes Risiko für die Gesellschaft als Ganzes dar. Statistiken zufolge erpressten Cyberkriminelle im vergangenen Jahr mehr als 1,1 Milliarden US-Dollar von Opfern in aller Welt.
Darüber hinaus ist der Umgang mit Ransomware ein Kampf zwischen Cyberangreifern und Sicherheitspersonal, der Geduld, Strategie und Timing erfordert.
Am Beispiel von LockBit Ransomware zeigt sich, dass die Ransomware immer wieder neue Versionen ihrer Angriffsmethoden, Strategien, Einbruchsstellen usw. entwickelt, was es dem Sicherheitspersonal erschwert, ein vollständiges Reparatursystem zu entwickeln. Daher ist bei der Ransomware-Bekämpfung die Vorbeugung viel wichtiger als die Reparatur, und es ist notwendig, eine systematische, umfassende Politik, eine systematische Steuerung und einen gemeinsamen Ansatz mit mehreren Parteien zu verfolgen, um einen Zaun zur Vorbeugung von Ransomware zu bilden:
Verwenden Sie nach Möglichkeit komplexe Passwörter:Bei der Festlegung von Passwörtern für Server oder interne Systeme innerhalb einer Organisation sollten komplexe Anmeldedaten verwendet werden, z. B. Passwörter, die Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten und mindestens 8 Ziffern lang sind, und die Passwörter sollten regelmäßig geändert werden.
Doppelte Validierung:Bei sensiblen Informationen innerhalb des Unternehmens müssen passwortbasierte Anmeldungen durch andere Verteidigungsschichten ergänzt werden, um Folgendes zu verhindernHacker (Informatik) (Lehnwort)Angriffe, wie z. B. die Installation biometrischer Authentifizierungsverfahren wie Fingerabdrücke, Iris usw. oder die Verwendung von physischen USB-Schlüssel-Authentifizierern für einige sensible Systeme.
Vier Don'ts:Klicken Sie nicht auf E-Mails aus unbekannten Quellen; surfen Sie nicht auf Websites mit pornografischen, Glücksspiel- und anderen unerwünschten Informationen; installieren Sie keine Software aus unbekannten Quellen, und seien Sie vorsichtig bei der Installation von Software, die von Fremden gesendet wurde; stecken Sie nicht willkürlich mobile Speichergeräte wie USB-Flash-Laufwerke, mobile Festplatten und Flash-Speicherkarten aus unbekannten Quellen in Ihr Gerät.
Schutz der Datensicherung:Der wirkliche Schutz vor Datenverlusten sind immer Offline-Backups. Daher ist es unerlässlich, Backups von wichtigen Daten und Geschäftssystemen zu erstellen. Beachten Sie, dass die Backups in jeder Phase klar und deutlich gekennzeichnet sein sollten, um sicherzustellen, dass sie rechtzeitig wiederhergestellt werden können, falls ein bestimmtes Backup mit Malware infiziert ist.
Beenden Sie immer den Virus und schließen Sie die Ports:Installieren Sie Antivirensoftware und aktualisieren Sie die Virendatenbank regelmäßig, und führen Sie regelmäßig einen vollständigen Virenschutz durch; schließen Sie unnötige Dienste und Ports (einschließlich unnötiger Fernzugriffsdienste wie Port 3389, Port 22 und unnötiger LAN-Sharing-Ports wie 135, 139, 445 usw.).
Stärkung des Sicherheitsbewusstseins der Mitarbeiter:Die größte verborgene Gefahr für die Sicherheitsproduktion liegt im Personal, in der Fischerei, in der Sozialarbeit, in der Vergiftung, in schwachen Passwörtern usw. Diese Schlüsselfaktoren stehen in engem Zusammenhang mit dem Sicherheitsbewusstsein des Personals, so dass wir das Sicherheitsbewusstsein des Personals wirksam verbessern müssen, um die Sicherheit insgesamt zu stärken und die Verteidigungsfähigkeit zu verbessern.
Rechtzeitiges Patchen von Büroterminals und Servern:Das rechtzeitige Patchen des Betriebssystems und der Anwendungen von Drittanbietern verhindert, dass Angreifer über Schwachstellen in das System eindringen können.
ein Dankeschön-Schreiben::WuBlockchain, @vxunderground, Hittan Labs, Yunding Labs
Beratung
[1] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[2] https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware- Gruppe
[3] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[4] https://ofac.treasury.gov/recent-actions/20240220
原创文章,作者:xbear,如若转载,请注明出处:https://cncso.com/de/malicious-software-ransom-team-lockbit-revealed.html
