Schlagwort: LockBit 3.0

Hackerangriff auf Continental: Wohl 40 Terabyte an Daten erbeutet

6. Dezember 2022

Eine Gruppe Krimineller ist in das Netzwerk des Autozulieferers Continental eingedrungen und hat dort erheblich viele Daten entwendet. Die für das Leak verantwortliche Ransomware-Gruppe LockBit 3.0 schreibt in ihrem Blog im Darknet, dass mehr als 40 Terabyte erbeutet worden seien. Es wird in der IT-Sicherheitscommunity gar vom umfangreichsten Datendiebstahl der jüngeren Geschichte gesprochen. Dabei handelt es sich offenbar um hochsensible Daten der Arbeitnehmer:innen. Eine Liste aller Dateinamen steht bereits im Netz.

Unter den erbeuteten Daten befinden sich unter anderem Strategiepläne, Prüfberichte, Dokumente von Wirtschaftsprüfern, Budgetpläne, Listen mit Rückstellungen, Verhandlungen über Gehaltserhöhungen, Geheimhaltungsabkommen mit anderen Unternehmen und Projektbeschreibungen.

Aber auch mehr als 47.000 Dateien enthalten das Wort “Arbeitssicherheit”. Gibt man den Suchbegriff “Unfälle” ein, erfährt man nicht nur körperlichen Problemen und Verletzungen, sondern auch von den psychischen Problemen der Arbeitnehmer. Außerdem stehen einige Namen von Mitarbeitern in den Dateinamen – auch in Verbindung mit Gehaltsverhandlungen oder Gesundheitsdaten von Betriebsärzten. 

LockBit 3.0 – Eine Ransomware as a Service Gruppe

LockBit sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. Als Teil des Einschüchterungsprogramms beziehe sich LockBit 3.0 stets auf die Datenschutz-Grundverordnung (DSGVO).

„(Die Opfer) werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenziellen Kundenklagen Geld zu verlieren“, berichtet Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry. Die Daten selbst werden derzeit für 40 Millionen Euro angeboten. LockBit verspricht: Wenn der Autozulieferer bezahlt, werden die Daten gelöscht. Datenschutzexperten raten jedoch davon ab, Ransomware-Gruppen das Erpressungsgeld zu zahlen.

LockBit wohl “Marktführer” in Ransomware-Angriffen

LockBit gilt als eine der größten Ransomware-Gruppen. Sicherheitsunternehmen bezeichneten sie im dritten Quartal 2022 sogar als führende Erpresser im digitalen Raum: Ungefähr jeder dritte Angriff geht laut unterschiedlichen IT-Experten auf das Konto der Gruppe. 

Schutz vor RAAS-Kampagnen: Best Practices

Bestuzhev empfiehlt in seiner aktuellen Stellungnahme folgende Best Practices:

  • Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
  • Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
  • Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
  • Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
  • Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
  • Erweitern Sie Ihren Überblick auf all Ihre Assets.
  • Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
  • Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
  • Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
  • Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
  • Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.