2000 Opfer, 100 Millionen Dollar Lösegeld: LockBit ist eine der gefährlichsten Ransomware-Bedrohungen der letzten Jahre. In diesem Beitrag bieten wir Ihnen eine umfassende Übersicht über LockBit und geben praktische Tipps, wie Ihr Unternehmen sich vor dieser Bedrohung schützen kann.
LockBit arbeitet als Ransomware-as-a-Service (RaaS). Dies bedeutet, dass die Schadsoftware von einer zentralen Organisation entwickelt und an sogenannte Affiliates weitergegeben wird, die dann die Angriffe ausführen. „Ransomware-as-a-Service ist in Anlehnung an Software-as-a-Service ein Geschäftsmodell, bei dem die Ransomware bzw. die Infrastruktur dafür an Suborganisationen ausgelagert wird,“ erläutert Trufflepig Forensics Geschäftsführer Christian Müller. Diese Affiliates führen die Angriffe durch, verhandeln mit den Opfern und stellen die Lösegeldforderungen.
Das vollständige Gespräch mit Geschäftsführer Christian Müller können Sie hier als Video anschauen:
LockBit ist aktuell so erfolgreich, weil die Affiliates der Gruppe in der Lage sind, viele Systeme zu kompromittieren. „Wenn die Affiliates wirklich gut abliefern und viele Systeme knacken, dann ist die gesamte Gruppe natürlich erfolgreicher“, so Müller. Dies wird durch eine hochwertige Infrastruktur und ausgeklügelte Techniken unterstützt, wie z.B. ein UAC-Bypass, der die Sicherheitsabfragen von Windows-Systemen umgeht. Zu den Opfern zählen dabei Unternehmen, Behörden und Organisationen jeglicher Art. Auch vor Krankenhäusern und anderen Gesundheitseinrichtungen machten die Hacker nicht Halt.
Phishing-E-Mails sind eine der Hauptmethoden, durch die LockBit in Unternehmensnetzwerke gelangt. Diese E-Mails wirken häufig absolut authentisch und sind in der Sprache des Empfängers verfasst. „Die Qualität des Phishings explodiert gerade. Die E-Mails wirken, als wären sie wirklich echt,“ warnt IT-Experte Müller.
Ein weiteres Merkmal von LockBit ist die sogenannte Double Extortion. Dabei werden die Daten des Opfers nicht nur verschlüsselt, sondern es wird auch damit gedroht, die Daten zu veröffentlichen, falls das Lösegeld nicht bezahlt wird. „Das Vorgehen ist seit Jahren am Markt etabliert“, berichtet Müller. Unternehmen müssen somit doppelt zahlen – einmal für die Entschlüsselung und einmal, um die Veröffentlichung der Daten zu verhindern.
Die Kosten eines Ransomware-Angriffs sind meist deutlich höher als viele denken, gleichzeitig macht eine gute Vorsorge nur einen Bruchteil der Kosten aus.
Um sich vor LockBit und ähnlichen Bedrohungen zu schützen, sollten Unternehmen generell starke IT-Sicherheitsmaßnahmen einführen und fortlaufend optimieren. Ein zentraler Aspekt ist die regelmäßige Überprüfung und Aktualisierung von Backups: „Backups müssen passen und wirklich passen, die sollte man auch auditieren lassen, zumindest mal das Konzept. Wir machen das bei quasi jedem unserer Kunden.“
Im Mai 2024 identifizierten Ermittler den mutmaßlichen Anführer der russischen Hackergruppe LockBit. Fahndungen laufen, und er ist in mehreren Punkten angeklagt. Die europäische Polizeibehörde Europol, zusammen mit australischen Ermittlern, berichtete zudem von einer weiteren Lösung für Betroffene: Die Behörden haben angeblich Zugriff auf über 2500 Schlüssel, die zur Entschlüsselung von durch LockBit verschlüsselten Daten verwendet werden können.
Bereits im Februar hatten internationale Strafverfolger die Infrastruktur von LockBit gekapert und Websites lahmgelegt. Trotzdem agiert die Gruppe weiterhin. Bis sie vollständig gestoppt wird, müssen Unternehmen wachsam bleiben, ihre Mitarbeiter sensibilisieren und umfassend informieren, um auf mögliche Angriffe vorbereitet zu sein.
