FBI gibt Hilfestellung zur Erkennung von Lockbit-Befall

Einen Angriff mit Lockbit-2.0-Ransomware erkennen – mit dieser Zielsetzung gibt das FBI IT-Verantwortlichen und Administratoren eine aktuelle Anleitung an die Hand, anhand welcher Anzeichen sie eine Infektion von Maschinen identifizieren können. Zudem sollen Tipps helfen, erfolgreiche Angriffe zu erschweren.

Malware-Dienstleister

Lockbit 2.0 operiert als Ransomware-as-a-Service mit Affiliate-Modell. Es handelt sich um eine Cybergang, die bereits seit einigen Jahren aktiv ist und sich im Jahr 2020 mit der bekannteren Cyberkriminellen-Bande Maze zusammengeschlossen hat. Die Angreifer nutzen unterschiedliche Vorgehensweisen, um Netzwerke zu kompromittieren, erläutert das FBI. So kaufe die Cybergang unter anderem Zugänge zu den Netzwerken, breche über nicht gepatchte Sicherheitslücken ein, erhalte Zugriff durch Insider oder nutze Zero-Day-Exploits.

Nach dem Einbruch in ein Netzwerk nutzen die Lockbit-Drahtzieher öffentlich verfügbare Werkzeuge wie Mimikatz, um ihre Rechte auszuweiten. Danach löscht die Malware die Anwendungs-, Sicherheits- und System-Protokoll-Dateien sowie Schattenkopien im System. Dann trägt die Ransomware Informationen zum System zusammen, wie Hostnamen, Konfiguration, Informationen zur Domäne, lokale Laufwerke, Netzwerkfreigaben sowie externe eingebundene Speichermedien. Anschließend versucht Lockbit, alle lokalen Daten und auch jene auf externen Speichern zu verschlüsseln, lässt dabei aber die Kerndateien des Systems unangetastet. Vor der Verschlüsselung nutzen die Affiliate-Partner in der Regel die Anwendung Stealbit aus dem Lockbit-Controlpanel, um etwa bestimmte Dateitypen zu kopieren und die Opfer zusätzlich mit der Veröffentlichung dieser Daten zu erpressen, schreibt das FBI.

Basierend auf Analysen befallener Systeme im Februar dieses Jahres hat das FBI konkrete Indizien zusammengetragen, anhand derer Administratoren den Befall mit Lockbit 2.0 erkennen können. Ab Seite 3 sind sie in der PDF-Anleitung des FBI zu finden. Eine vollständige Auflistung würde den Beitrag sprengen.

Lockbit wird nur aktiv, wenn es keine osteuropäischen Spracheinstellungen vorfindet. Daher zählt die US-Behörde die Codepages der Sprachen auf, die die Malware zur Inaktivität bewegen. Zudem nennen die Analysten unter anderem beobachtete Aktivitäten an der Eingabeaufforderung wie Befehle zum Ignorieren von Boot-Fehlern oder Löschen der initialen Malware-Datei. Weiter listet das FBI aber auch Registry-Schlüssel auf und nennt Gruppenrichtlinien, die etwa zum Deaktivieren des Microsoft Defenders angewendet werden.

Präventive Maßnahmen

Die US-amerikanischen Strafverfolger geben Hinweise, wie Administratoren die Angriffsfläche minimieren können, um einen Befall von vornherein zu verhindern. Darunter finden sich altbekannte Standards: Etwa das Durchsetzen der Regel, alle Passwort-geschützten Zugänge mit starken, langen und individuellen Passwörtern zu versehen sowie auf Mehr-Faktor-Authentifizierung zu setzen.

Zudem sollen Administratoren Betriebssystem und Dritthersteller-Software aktuell halten. Aber auch seltener zu findende Hinweise wie das Entfernen nicht benötigter Zugriffe etwa auf administrative Freigaben wie ADMIN$ oder C$ listet das FBI auf. Für IT-Verantwortliche könnte darunter noch ein gelegentlich übersehener Punkt enthalten sein.

Da Ransomware-Befall in Unternehmen und Organisationen inzwischen leider ein alltägliches Ereignis ist, sind solche Hinweise zwar nützlich. Sie ersetzen jedoch beispielsweise kein regelmäßiges Backup, das idealerweise nach dem Erstellen der Sicherung vom Netzwerk respektive der lokalen Maschine getrennt wird. So kann die Ransomware es nicht ebenfalls verschlüsseln. Und IT-Verantwortliche könnten damit zumindest den Geschäftsbetrieb rasch wiederherstellen.

Lesen Sie auch

Cybercrime: Erpressung auf neuem Niveau

(dmk)