LockBit nimmt nun auch Apple ins Visier
Als eine der weltweit aktivsten Ransomware-Gruppen hat LockBit seine Operationen jetzt mit verbesserten Multiplattform-Funktionen ausgeweitet. Die Gruppe ist bekannt für ihre Angriffe auf Unternehmen weltweit, bei denen beträchtliche finanzielle und betriebliche Schäden entstehen. Ein aktueller Bericht verdeutlicht die Entschlossenheit von LockBit, ihre Reichweite zu vergrößern und die Auswirkungen ihrer schädlichen Aktivitäten zu maximieren.

In der Cybersicherheits-Community wurde beobachtet, dass LockBit Code von anderen berüchtigten Ransomware-Gruppen wie BlackMatter und DarkSide übernimmt. Dieser strategische Schritt vereinfacht nicht nur die Abläufe für potenzielle Partner, sondern erweitert auch die Palette der Angriffsvektoren, die von LockBit genutzt werden.
Neue Erkenntnisse von Kasperskys Threat Attribution Engine (KTAE) zeigen, dass LockBit etwa 25 Prozent des Codes übernommen hat, der zuvor von der mittlerweile aufgelösten Conti-Ransomware-Gruppe verwendet wurde. Dadurch entstand eine neue Variante namens LockBit Green.
Die Forscher von Kaspersky haben kürzlich eine ZIP-Datei entdeckt, die LockBit-Samples enthält, die speziell für verschiedene Architekturen entwickelt wurden, darunter Apple M1, ARM v6, ARM v7, FreeBSD und andere. Eine gründliche Analyse und Untersuchung mit KTAE bestätigte, dass diese Samples mit der zuvor beobachteten LockBit Linux/ESXi-Version übereinstimmen.
Laut Marc Rivero, einem Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky, ist LockBit eine äußerst aktive und berüchtigte Ransomware-Gruppe, die für ihre schweren Cyberangriffe auf Unternehmen weltweit bekannt ist. Durch kontinuierliche Infrastrukturverbesserungen und die Übernahme von Code anderer Ransomware-Gruppen entwickelt sich LockBit zu einer bedeutenden und ständig weiterentwickelnden Bedrohung für Unternehmen aller Branchen.
Um die Risiken, die von LockBit und ähnlichen Ransomware-Gruppen ausgehen, wirksam einzudämmen, empfiehlt Rivero Unternehmen, ihre Verteidigungsmaßnahmen zu verstärken, Sicherheitssysteme regelmäßig zu aktualisieren, Mitarbeiter über bewährte Verfahren im Bereich der Cybersicherheit aufzuklären und Protokolle für die Reaktion auf Vorfälle zu erstellen.
In der Vergangenheit operierte LockBit in der Anfangsphase ohne Leak-Portale, doppelte Erpressungstaktiken oder Datenexfiltration vor der eigentlichen Verschlüsselung der betroffenen Daten. Die Gruppe hat jedoch ihre Infrastruktur und Sicherheitsmaßnahmen kontinuierlich weiterentwickelt, um ihre Vermögenswerte vor verschiedenen Bedrohungen zu schützen, darunter Angriffe auf ihre Administrationspanels und störende Distributed Denial of Service (DDoS)-Angriffe.
Tipps zum Schutz gegen Ransomware
- Software auf allen verwendeten Geräten stets auf dem neuesten Stand halten, um Angreifer daran zu hindern, Schwachstellen auszunutzen und in das Netzwerk einzudringen.
- Die Verteidigungsstrategie auf die Erkennung von Seitwärtsbewegungen und Datenlecks im Internet konzentrieren. Besonders auf den ausgehenden Datenverkehr achten, um Verbindungen von Cyberkriminellen zum Netzwerk zu erkennen. Offline-Backups einrichten, die von Eindringlingen nicht manipuliert werden können. Sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.
- Ransomware-Schutz auf allen Endgeräten aktivieren.
- Anti-APT- und EDR-Lösungen installieren, die Funktionen für die fortschrittliche Erkennung von Bedrohungen, die Untersuchung und rechtzeitige Behebung von Vorfällen ermöglichen. Dem SOC-Team Zugang zu den neuesten Bedrohungsdaten ermöglichen und regelmäßig durch professionelle Schulungen weiterbilden.
- Dem SOC-Team den Zugriff auf die neuesten Bedrohungsdaten gewähren
Weitere Informationen zu LockBits aktualisiertem Toolset gibt es hier.