Sophos-Report: Mittelstand im Fokus von LockBit-Ransomware
Angriffsmethoden von LockBit
Sophos präsentiert seine aktuelle Studie zur LockBit-Ransomware. Zwei Techniken fallen dabei laut Angaben des Sicherheitsexperten auf: Erstens, der Einsatz von automatisierten Tools, um bestimmte Steuer- und Buchhaltungssoftware in gehackten Netzwerken mit Ransomware zu infizieren, und zweitens das Umbenennen von PowerShell-Dateien zur eigenen Tarnung.
Die Analyse zeigt auf, wie die Kriminellen mit PowerShell-Tools nach bestimmten Geschäftsanwendungen in gehackten Netzwerken suchen, darunter Steuer- und Buchhaltungssoftware. Wenn ein durch diese Suche erzeugter Fingerabdruck den Schlüsselwort-Kriterien entspricht, führen die Tools automatisch eine Reihe von Aufgaben aus, darunter das Starten der LockBit-Attacke.
Die Forscher konnten auch eine Reihe neuer Angriffsmethoden identifizieren, mit denen LockBit der Entdeckung entgeht. Dazu gehören das Umbenennen von PowerShell-Dateien und die Verwendung eines Remote-Google-Dokuments für die Befehls- und Kontrollkommunikation. Aufgrund des hochgradig automatisierten Charakters der Angriffe kann sich die Ransomware, sobald sie einmal gestartet ist, innerhalb von fünf Minuten über das Netzwerk verbreiten und dabei gleichzeitig ihre Aktivitätsprotokolle löschen.
Sean Gallagher, Senior Threat Researcher bei Sophos, sagte: „Das Interesse von LockBit an bestimmten Geschäftsanwendungen und Schlüsselwörtern deutet darauf hin, dass die Angreifer eindeutig Systeme identifizieren wollten, die für kleinere Unternehmen wertvoll sind – Systeme, die Finanzdaten speichern und das Tagesgeschäft abwickeln – um die Opfer massiv unter Druck zu setzen, zu zahlen. " Er fügte hinzu: „Wir haben schon gesehen, wie Ransomware Geschäftsanwendungen bei der Ausführung stillgelegt hat, aber dies ist das erste Mal, dass Angreifer nach bestimmten Arten von Anwendungen mit einem automatisierten Ansatz suchen, um potenziell erfolgsversprechende Ziele zu identifizieren.“
„Die LockBit-Bande scheint anderen Cybergangstergruppen zu folgen, darunter Ryuk. Über diese Gruppe hatte Sophos erst kürzlich herausgefunden, dass sie Cobalt Strike verwendet. Dabei handelt es sich um adaptierte Tools, die für Penetrationtests entwickelt wurden, um Angriffe zu automatisieren und zu beschleunigen. In diesem Fall helfen die PowerShell-Skripte den Angreifern dabei, Systeme zu identifizieren, auf denen Anwendungen mit besonders wertvollen Daten vorhanden sind. Sie wollen auf diese Weise ihre Zeit nicht mit Opfern verschwenden, die mit geringerer Wahrscheinlichkeit zahlen werden“, erläuterte Gallagher weiter.
Die LockBit-Angreifer versuchen, ihre Aktivitäten zu verbergen, indem sie sie wie normale, automatisierte Verwaltungsaufgaben aussehen lassen und legitime Tools nutzen. Die Kriminellen erstellen zum Beispiel getarnte Kopien von Windows-Scripting-Komponenten und benutzen dann den Taskplaner von Windows, um sie zu starten. Zusätzlich modifizieren sie den eingebauten Anti-Malware-Schutz, sodass er nicht mehr funktionieren kann.
Weitere Informationen stehen unter www.sophos.com zur Verfügung.
Lesen Sie mehr zum Thema
