Ransomware: Was ist LockBit? Die Hackergruppe soll hinter dem Angriff auf eine der größten Banken Chinas, ICBC, stecken

Ransomware Was ist LockBit Die Hackergruppe soll hinter dem Angriff
Chinas größte Bank Industrial and Commercial Bank of China (ICBC) wurde getroffen Ransomware Attacke. Der Verstoß hat Berichten zufolge den Handel auf dem Markt für US-Staatsanleihen gestört. Das in New York ansässige Unternehmen erklärte, es führe Ermittlungen durch und habe das Problem den Strafverfolgungsbehörden gemeldet. Die Bank gab keine weiteren Details bekannt, aber Berichten zufolge handelte es sich um einen Angriff LockBitein russischsprachiges Ransomware-Syndikat.
Es handelt sich um dieselbe Gruppe, die auch hinter dem stehen soll Cyberangriffe auf die britische Royal Mail, Japans größten Seehafen, und traf zuletzt das Teile- und Vertriebsgeschäft von Boeing. Allerdings soll keiner der jüngsten Cyberangriffe von LockBit die Finanzwelt stärker erschüttert haben als der Hack von ICBC. Der am Donnerstag, dem 9. November, vom weltweit größten Kreditgeber nach Gesamtvermögenswerten bekannt gegebene Verstoß blockierte Berichten zufolge die Abwicklung einiger Geschäfte auf dem Treasury-Markt und zwang Makler und Händler, Transaktionen umzuleiten.
Was ist die LockBit-Gruppe?
Laut dem Cybersicherheitsunternehmen Emsisoft ist LockBit eine der berüchtigtsten Ransomware-Varianten überhaupt. Sie ist seit September 2019 aktiv und soll tausende Organisationen angegriffen haben. Nach Angaben des Cybersicherheitsunternehmens Kaspersky verteilen sich die Opfer der Bande auf Europa und die USA sowie auf China, Indien, Indonesien und die Ukraine.
So funktioniert LockBit
LockBit-Ransomware-Angriffe beginnen typischerweise damit, dass sich die Gruppe über eine Phishing-E-Mail oder eine Schwachstelle in ihrem Netzwerk Zugang zum Netzwerk eines Unternehmens verschafft. Sobald die Gruppe Zugriff auf das Netzwerk hat, verschlüsselt sie die Daten des Unternehmens und verlangt im Austausch für den Entschlüsselungsschlüssel ein Lösegeld. LockBit ist auch für den Einsatz doppelter Erpressungstaktiken bekannt. Bei doppelten Erpressungsangriffen droht die Ransomware-Gruppe mit der Herausgabe der gestohlenen Daten des Opfers, wenn das Lösegeld nicht gezahlt wird. Diese Art von Angriff kann für die Opfer besonders schädlich sein, da sie zu Reputationsschäden und finanziellen Verlusten führen kann.
Forscher haben die Hacking-Tools von LockBit lange untersucht und festgestellt, dass die Gruppe ihre Schadsoftware regelmäßig aktualisiert, um einer Erkennung durch Cybersicherheitsprodukte zu entgehen. Laut Kaspersky „funktioniert LockBit als Ransomware-as-a-Service (RaaS). Willige Parteien leisten eine Kaution.“ Die Lösegeldzahlungen werden zwischen dem LockBit-Entwicklerteam und den angreifenden Partnern aufgeteilt, die bis zu ¾ des Lösegelds erhalten.“
LockBit breitet sich weiter aus
Am bedeutendsten ist die Fähigkeit von LockBit, sich selbst zu verbreiten, was bedeutet, dass es sich von selbst verbreitet. Bei der Programmierung orientiert sich LockBit an vorgefertigten automatisierten Prozessen. Dies unterscheidet ihn von vielen anderen Ransomware-Angriffen, die durch manuelles Verweilen im Netzwerk – manchmal wochenlang – bis zur vollständigen Aufklärung und Überwachung ausgelöst werden.
Nimmt Lösegeld in Bitcoins
LockBit-Hacker nutzen sogenannte Ransomware, um Systeme zu infiltrieren und als Geiseln zu nehmen. Sie verlangen eine Zahlung, um die Computer, die sie kompromittiert haben, freizuschalten, und drohen häufig damit, gestohlene Daten preiszugeben, um die Opfer zur Zahlung zu drängen. Typischerweise verlangt die Gruppe Lösegeldzahlungen in Bitcoin.

toi-tech