Als Reaktion auf die Welle an Ransomware-Angriffen durch Mitglieder der LockBit-Hackergruppe haben internationale IT-Sicherheitsbehörden gemeinsam eine detaillierte Analyse nebst Abwehrmaßnahmen veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war an der Publikation genauso beteiligt wie die US-Behörden Cybersecurity & Infrastructure Security Agency (CISA), das Multi-State Information Sharing and Analysis Center (MS-ISAC) und das FBI.

Weitere internationale Partner:

  • Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) in Frankreich
  • National Cyber Security Centre (NCSC-UK) in Großbritannien
  • Australian Cyber Security Centre (ACSC)
  • Canadian Centre for Cyber Security (CCCS)
  • Neuseelands Computer Emergency Response Team (CERT NZ) und das National Cyber Security Centre (NCSC NZ)

Der Anlass zur Erstellung des Cyber Security Advisory (CSA) AA23-165A waren die fortlaufenden Cyberangriffe auf verschiedene Organisationen durch die Ransomwaregruppe LockBit. Zu den prominentesten Opfern gehörten der multinationale Autokonzern Continental, die Royal Mail (Großbritannien), das Hospital for Sick Children (Kanada), Managed Care of North America (USA) und das Centre Hospitalier Sud Francilien (Frankreich). Allein in den USA sollen die kompromittierten Organisationen seit dem Jahr 2020 über 90 Millionen US-Dollar an Lösegeldern gezahlt haben.

Die Hackergruppe LockBit

LockBit hat sich schnell zu einer der erfolgreichsten Cybercrime-Organisationen weltweit entwickelt und wird 2022 für 44 Prozent aller Ransomware-Kampagnen verantwortlich gemacht. Die ersten Versionen der Erpressersoftware LockBit traten Ende 2019 auf und ermöglichten der Gruppe einen kometenhaften Aufstieg – kein Wunder, dass dieser Erfolg für Aufmerksamkeit bei den internationalen Sicherheitsbehörden sorgte. Der Verschlüsselungstrojaner ist im Untergrund als Ransomware as a Service (RaaS) erhältlich, wobei die Gruppe oft eine „doppelte Erpressungstechnik“ nutzt. Sensible Daten werden kopiert und zugleich auf den IT-Systemen des Opfers verschlüsselt. Auf diese Weise kann LockBit damit drohen, gestohlene Daten auf einer eigenen Datenleck-Site zu veröffentlichen, falls das geforderte Lösegeld nicht gezahlt werden sollte.

Zur Stärkung des illegalen Geschäftsmodells hat LockBit darüber hinaus ein eigenes Bug-Bounty-Programm gestartet – mit kriminellem Erfolg: „Ethische und unethische Hacker“ kommen der Aufforderung nach, Schwachstellen in der LockBit-Ransomware und IT-Infrastruktur zu finden und weiterzugeben. Recherchen zufolge liegen die dafür gezahlten Summen zwischen 1.000 und einer Million US-Dollar.

Das Erfolgsgeheimnis der LockBit-Angriffe

Die LockBit-Gruppe bietet Ransomware as a Service und rekrutiert dafür ein Netz krimineller Partner – Affiliates genannt –, die gegen eine Gebühr die bereitgestellten Ransomware-Tools verwenden und erpresste Lösegelder verpflichtend teilen müssen. Den rekrutierten Partnern gewährt LockBit offenbar bis zu 75 Prozent der Lösegeldzahlungen, was den Affiliates einen entsprechend hohen Anreiz zur Zusammenarbeit bietet. Eine der größten Herausforderungen dieses Modells für IT-Sicherheitsverantwortliche ist aus CISA-Sicht die enorme Bandbreite an Taktiken, Techniken und Verfahren (Tactics, Techniques, Procedures; TTPs), die dabei zum Einsatz kommen. Jeder Affiliate-Partner kann individuell die jeweils bevorzugten Angriffstechniken einsetzen und variieren, wobei in der Endphase eines Angriffs stets LockBit-Ransomware zum Einsatz kommt. Bei der Abwehr von LockBit-Angriffen ist es daher schwierig, klare Handlungsempfehlungen mitzugeben.

LockBit-Taktiken und -Techniken

Die Begrenzung von Berechtigungen und Zugriffen zählt nach wie vor zu den Kernkomponenten einer robusten Anti-Ransomware-Strategie bei der Abwehr tiefgreifender Angriffe. Anders ausgedrückt: Je weniger Benutzerprivilegien und Zugriffsrechte im Rahmen eines Angriffs auf ein Unternehmen zur Verfügung stehen, desto weniger Schaden kann angerichtet werden. Im anfangs erwähnten Cybersecurity Advisory wird chronologisch aufgelistet, welche Taktiken und Techniken für den initialen Zugriff — etwa Drive-by Compromise, Missbrauch von Remote-Zugriffen oder Phishing — eingesetzt werden.

Rechteausweitung – Missbrauch lokaler Administratorrechte zur Privilegieneskalation und Aushebelung von Kontrollmechanismen: Zur Umgehung der Benutzerkontensteuerung setzt LockBit unter anderem Techniken wie Autostart-Ausführung auf Systemebene und Ändern von Gruppenrichtlinien ein.

Defensive Evasion – LockBit deaktiviert Sicherheitstools und löscht Windows-Ereignisprotokolle, um der Erkennung zu entgehen. Diese Aktionen erfordern, dass der Angreifer mindestens über lokale Administratorrechte auf dem Endpunkt verfügt und Code ausführen darf.

Zugriff auf Anmeldeinformationen – LockBit-Partner verwenden OS Credential Dumping-Tools wie ProcDump, ExtPassword und LostMyPassword, um die Anmeldeinformationen anderer Benutzer beim Zugriff auf einen Endpunkt einzusetzen. Auf diese Weise können sie die Anmeldeinformationen potenziell privilegierter Domänenbenutzer erfassen und deren Zugriff eskalieren. Für das Speichern von Anmeldeinformationen des Betriebssystems sind lokale Administratorrechte erforderlich, insbesondere SeDebugPrivilege und SeDriverLoadPrivilege.

Lateral Movement – LockBit-Affiliates setzen Administratorkonten und SMB (Server Message Block) für laterale Bewegungen in Kombination mit Tools wie Splashtop ein.

Gegenmaßnahmen bei LockBit-Attacken

Enterprise-Tools zur Verwaltung von Endpunktberechtigungen wie Privilege Management für Windows und Mac in Kombination mit einem sicheren Remote-Access-Tool wie Privileged Remote Access oder Remote Support sorgen für die unternehmensweite Einschränkung von Berechtigungen und eine wirksame Kontrolle von Anwendungen. Das sind hochwirksame Abhilfemaßnahmen gegen die Angriffstechniken, die von LockBit und anderen Bedrohungsakteuren verwendet werden. Auch in den späteren Phasen eines Angriffs auf Unternehmensnetze versuchen Hacker, zu weit gefasste Nutzerberechtigungen, hohe Zugriffsmöglichkeiten und fehlende Anwendungskontrolle auszunutzen.

Patch Management – Es ist wichtig, dass Betriebssystem und Software auf dem neuesten Stand bleiben — insbesondere bei öffentlich zugänglichen IT-Systemen. Bekannte Sicherheitslücken bieten Angreifern oft die Möglichkeit, Code auf Ihren Systemen auszuführen. Das ist eine Routinemaßnahme mit hoher Effizienz.

Least-Privilege – Mit der Endpoint Privilege Management-Technologie lässt sich das Prinzip der geringsten Rechte durchsetzen, ohne die Benutzererfahrung zu beeinträchtigen. Lokale Administratorrechte werden entfernt, um prozessabhängig (oder anwendungsbezogen) Rechte erhöhen zu können – aber niemals auf Benutzerebene. Über ein Privilege Access Management-Tool lassen sich Administratorkonten erfassen und kontrollieren, Kennwörter automatisch rotieren und Zugriffe richtlinienkonform steuern.

Zugriffskontrolle – Die Umsetzung von Zero-Trust-Strategien vermeidet VPN- und RDP-Lösungen, die Angreifern einen breiten Zugriff auf das Netzwerk bieten. Benutzer erhalten bedarfsgerecht genau den Zugriff, den sie zur Erfüllung ihrer Aufgaben benötigen — vollständig kontrolliert und protokolliert. Auch der Einsatz von Multi-Faktor-Authentifizierung (MFA) empfiehlt sich.

Erweiterte Steuerung – Anwendungskontrolle in Kombination mit der Berechtigungsverwaltung ist ein bewährter Schutz gegen die meisten Bedrohungen. Benutzer können native Tools oder Software nicht manipulieren, so dass weitere Sicherheitsregeln auf Anwendungen beschränkt werden können, die ein Benutzer (oder Angreifer) neu installieren will. Bei systemeigenen Anwendungen mit hohem Risiko wie PowerShell lässt sich durch Kombination von Privilege Management und Anwendungskontrolle verhindern, dass sich Angreifer festsetzen und vorhandene Tools ausnutzen.

Fazit

LockBit stellt eine große Bedrohung für die meisten Unternehmen dar. Das innovative Zusammenspiel von Lockbit-Ransomware und technisch versierten Partner-Affiliates verschärft die Gefahrenlage. Angesichts der langen Liste betroffener Organisationen sind die Warnungen internationaler Sicherheitsbehörden ein alarmierender Weckruf. Für viele Organisationen ist nicht die Frage ob, sondern wann sie betroffen sein werden. Mit einer zielgerichteten Sicherheitsstrategie und robusten Gegenmaßnahmen sind die skizzierten Bedrohungen indes fast vollständig vermeidbar.

“Ransomware ist keine Zauberei — die Auswirkungen hängen von den eingesetzten Benutzerrechten und Applikationen ab. Das ist eine große Schwäche und bietet uns wiederum die Chance, diese mit den richtigen Werkzeugen einzudämmen und einen weiteren Befall zu verhindern.”

— G Mark Hardy, President of National Security Corporation

Mit einem soliden Least-Privilege-Modell kann man sich gegen Cyberbedrohungen wie Ransomware gut verteidigen. Viele der im Verlauf eines Angriffs eingesetzten Taktiken und Techniken — von der LockBit-Gruppe oder anderen Bedrohungsakteuren — werden direkt unterbunden und damit die Möglichkeiten zur Untergrabung der Sicherheitsstrukturen eingeschränkt.

Erfahren Sie mehr über die Implementierung von Least Privilege in Ihrem Netzwerk und kontaktieren Sie uns.

Photograph of James Maude

James Maude,

Auf dem Laufenden bleiben

Melden Sie sich für den BeyondTrust Newsletter an.. Sie können sich jederzeit abmelden.

Ich bin damit einverstanden, Mitteilungen über die Produkte von BeyondTrust zu erhalten, wie es in der Datenschutzrichtlinie von BeyondTrust beschrieben ist und ich kann jederzeit meine Präferenzen verwalten oder meine Zustimmung widerrufen.


Up next

You May Also Be Interested In:

Prefers reduced motion setting detected. Animations will now be reduced as a result.