Lockbit: Cybersecurity-Behörde von New Jersey warnt vor Kampagne

Rund um die kriminelle Cybergang Lockbit bleibt es spannend. Nachdem vergangene Woche Strafverfolger die Identität des Kopfes der Bande preisgegeben und eine Belohnung auf Hinweise ausgelobt haben, reagierte sie mit der hastigen Veröffentlichung zahlreicher vermeintlicher und echter Datendiebstähle. Die Cybersicherheitsbehörde des US-Bundesstaats New Jersey warnt seit dem Wochenende zudem vor einer aktuellen Malware-Kampagne, die sie "Lockbit Black" nennt – das ist der Codename der Lockbit 3.0-Malware.

In einer Mitteilung auf der Webseite der IT-Sicherheitsbehörde von New Jersey beschreiben die Mitarbeiter, dass das eingesetzte E-Mail-Sicherheitssystem eine neue Lockbit-Kampagne aufgespürt hat, die LockBit Black genannt wurde. Es gab zudem IT-Vorfall-Berichte dazu und die Kampagne wurde von Informations- und Analysen-Zentren beobachtet – etwa auf der ThreatDown-Webseite ist eine Analyse zu finden.

Details zu Malware-E-Mails

Die E-Mails, die zu dieser Ransomware-Kampagne gehören, enthielten demnach einen bösartigen ZIP-Dateianhang und hatten oftmals als Absenderadresse "JennyBrown3422[@]gmail[.]com" sowie "Jenny[@]gsd[.]com". In der ZIP-Datei befand sich die ausführbare Datei – laut ThreatDown-Analyse eine als Bildschirmschoner getarnte .scr-Datei –, die beim Start das Betriebssystem mit der Lockbit-Ransomware verschlüsselt. Instanzen, die mit der Kampagne in Verbindung gebracht werden konnten, gehörten den Beamten aus New Jersey zufolge zum Phorpies-Botnet (auch als Trik bekannt), und haben die Malware ausgeliefert.

Mehr als 1500 Quell-IP-Adressen, von denen aus die Malware versendet wurde, hätten ausgemacht werden können. Die Geo-IP-Zuordnung weise vorrangig auf China, Iran, Kasachstan, Russland, Usbekistan und weitere Länder. Die ausführbaren Lockbit-Dateien stammten etwa von den IP-Adressen 193[.]233[.]132[.]177 und 185[.]215[.]113[.]66. Die Betreffzeilen der Mails lauteten etwa "Your Document" oder "Photo of you???".

Auch Black Basta zeigt erhöhte Aktivitäten

Das FBI und die CISA haben gerade erst vor der Cybergang Black Basta gewarnt, die in den vergangenen zwei Jahren mehr als 500 Organisationen attackiert haben soll. Die IT-Sicherheitsfirma Rapid7 hat nun eine aktuelle Social-Engineering-Kampagne, die vermeintlich von den kriminellen Drahtziehern hinter der Ransomware ausgeht, beobachtet. In einem Blog-Beitrag schreiben die IT-Sicherheitsforscher von Rapid7, dass die Angreifer eine E-Mail-Adresse von Nutzern mit Müll überrumpeln, um diese anschließend anzurufen und Unterstützung anzubieten.

Dabei hält der freundliche Anrufer das Opfer dazu an, eine angebliche Fernüberwachungssoftware herunterzuladen wie Anydesk oder Microsofts eingebaute Schnellhilfe zu starten, um eine Verbindung aufzubauen. Sofern die Verbindung steht, laden die bösartigen Akteure Software von ihrer Infrastruktur herunter, um die Zugangsdaten der betroffenen Nutzer zu entwenden und persistenten Zugriff einzurichten. In einem Fall beobachteten die IT-Forscher, dass Cobalt-Strike-Beacons auf andere Geräte des kompromittierten Netzwerks installiert wurden. Zwar habe man keine konkrete Installation der Black Basta-Ransomware beobachtet, die Indizien für eine Infektion (Indicators of Compromise, IOCs) waren jedoch zuvor bereits mit Black Basta verknüpft. Das wäre eine deutliche Erweiterung des kriminellen Betätigungsfeldes der kriminellen Cyberbande.

Das Hin und Her zwischen Strafverfolgern und Lockbit mutet etwas spielerisch an: Zunächst hatten die Ermittler auf der alten Lockbit-Darknet-Seite Anfang vergangener Woche eine Enthüllung angekündigt. Am Dienstag der Woche hatten sie dann die Identität vom Kopf der Bande, LockBitSupp, veröffentlicht und eine Belohnung bis zu 10 Millionen US-Dollar für hilfreiche Hinweise auf ihn ausgelobt. LockBitSup stritt daraufhin ab, dass die genannte Identität zu ihm gehöre und hat eilig Informationen zu hunderten Cyber-Einbrüchen mit Datendiebstahl veröffentlicht. Die stichprobenartig angefragte, angeblich betroffene Telekom wusste von nichts Derartigem zu Berichten, während die TU Ilmenau einen Einbruch bestätigte.

(dmk)