Lockbit ist eine russischsprachige Gruppe, welche Ransomware-as-a-Service betreibt.

Die Gruppe wurde erstmals mit einer Schadsoftware ABCD im Jahr 2019 bekannt. Seit dem Jahr 2020 gibt es die Ransomware Lockbit, mit der auch ein Affiliate-Programm besteht. Im selben Jahr wurde eine Website geschaltet, über die die Gruppe erbeutete Daten entweder bei Nichtbezahlen geforderter Lösegelder veröffentlicht oder bei Bezahlen aushändigt. Im Juni 2021 kam Lockbit 2.0 heraus, diese Version enthielt ein Tool namens StealBit zur Automatisierung von Datenabflüssen. Im Juni 2022 kam Lockbit 3.0 heraus, diese Version enthält ein Bug-Bounty-Programm, von dem Hinweise auf Schwachstellen im verschlüsselten Messenger TOX oder allgemein Schwachstellen bei Tor erwartet werden.

Die größte Attacke von Lockbit bis 2021 war die gegen Accenture. Lockbit konnte im Jahr 2021 sechs Terabyte an Daten von der Beratungsfirma entwenden und stellte eine Forderung von 50 Millionen Dollar. Jedoch konnte Accenture die Daten aus Backups wiederherstellen.

Am 30. Mai 2022 wurde bekannt, dass die Fabriken von Foxcon in Mexiko opfer einer Lockbit Attacke wurden und ein Lösegeld gefordert wurde.

Eine weitere große Attacke gegen den Autozulieferer Continental AG wurde Ende August bekannt. Dabei drang Anfang Juli 2022 Lockbit in das Netzwerk des Konzerns ein und erbeutete insgesamt 40 TB an Daten. Es wurde vermutet, dass ein Mitarbeiter eine Schadsoftware gestartet hatte, die per Phishing in das Unternehmen gekommen war. Am 4. August 2022 bemerkte Continental den Angriff, entfernte mit Hilfe eines externen IT-Dienstleisters die Schadsoftware und veröffentlichte den Vorfall, wobei betont wurde, der Angriff sei abgewendet worden. Anfang November jedoch veröffentlichte Lockbit einen Screenshot von Lösegeldverhandlungen, nachdem diese offenbar gescheitert waren. Continental bestätigte daraufhin die anhaltende Erpressung. Mitte November kam eine Liste erbeuteter Dateinamen mit 54 Millionen Einträgen im Darknet auf, es wurde gefordert, 40 Millionen Dollar zu zahlen, sonst würden die Dateien anderweitig verkauft. In der Liste fanden sich Dateinamen, die darauf hindeuten, dass es sich dabei um Geheimhaltungsabmachungen mit Firmen aus der Automobilbranche handelt. Weitere Dateien könnten den Jahresabschluss oder den Verwaltungsrat zum Thema haben. Auch Dateien zur IT-Administration waren dabei sowie solche zur Gesundheit einzelner Mitarbeiter. Laut Zeit Online wurden Mitarbeiter nur zögerlich über den Vorfall informiert, erst Anfang November wurde allen Mitarbeitern der Vorfall mitgeteilt.

Im Sommer 2022 wurde die Firma Advanced Computer Software, von Lockbit angegriffen. Damit wurden diverse Komponenten des National Health Service ab dem 4. August beeinträchtigt. Vor allem NHS 111 Service, eine britische Telefonnummer für Medizinische Hilfe, war eingeschränkt worden. Die Telefonbearbeiter konnten die Software nicht richtig bedienen und mussten mit Stift und Papier arbeiten. Betroffen waren 16 NHS 111 Abteilungen. Betroffen von der Attacke war die Staffplan und Caresys Softwares. Eindringen konnte Lockbit mit Zugangsdaten von einem Drittanbieter und konnte sich weitere Rechte sichern. Dabei wurden auch ein kleiner Teil der Daten heruntergeladen.

Lockbit konnte im Oktober 2022 auch in das Netzwerk von Pendragon PLC, einem Britischen Autohändler, eindringen und forderte ein Lösegeld. Pendragon ging jedoch nicht auf die Forderung ein und sagte, dass lediglich 5 % der Daten gestohlen wurden.

Lockbit arbeitete im Jahr 2023 an einer Ransomware, um Rechner von Apple anzugreifen. Eine erste Testversion tauchte auf VirusTotal auf. Diese Version konnte zwar nicht wirklich die Dateien verschlüsseln, es zeigte aber die Absicht von Lockbit, zukünftig auch die Hardware von Apple anzugreifen.

Im Mai 2023 wurde der Russe Michail Pawlowitsch Matweew (russisch Михаил Павлович Матвеев) von der US-Justiz angeklagt. Der Kriminelle soll unter anderem auch mit Lockbit gearbeitet haben. Da Matweew in Russland lebt, konnte er nicht gefasst werden, aber es wurde ein Kopfgeld auf ihn von bis zu 10 Millionen US-Dollar vom Department of State ausgelobt.

Im Juni 2023 wurde bekannt dass Lockbit beziehungsweise ein Affiliate versucht den taiwanesischen Chipherstelle TSMC versucht mit 40 Millionen US-Dollar zu erpressen. Der Affiliate "National Hazard Agency" griff die Kinmax Technologies an welche Netwerk-Technik Hosting und Cloud Dienste anbiete. Dabei wurden die Daten von TSMC abgegriffen. Einige Tage nach dem Angriff, am 3. Juli, wurden auf dem Upload-Portal Mega 16 Dateien veröffentlicht, um der Forderung Nachdruck zu geben.

Lockbit wurde im August 2022 auch schon selber attackiert in dem Lockbits Server ein DDOS-Angriff ausgesetzt waren. Die Website, auf welcher die Lösegeldforderung veröffentlicht wurde, war nicht zugänglich. Die Seite musste 400 Anfrage pro Sekunde von 1000 Servern bearbeiten und brach dann zusammen.

Einzelnachweise

  1. Matt Burgess Lily, Hay Newman: The Unrelenting Menace of the LockBit Ransomware Gang. The notorious Russian-speaking cybercriminals grew successful by keeping a low profile. But now they have a target on their backs. In: wired.co.uk. Wired, 24. Januar 2023, abgerufen am 2. Februar 2022 (englisch).
  2. 1 2 LockBit. 8. Februar 2022, abgerufen am 20. August 2022 (englisch).
  3. Dirk Knop: Lockbit-Ransomware-Gruppe stellt sich professioneller auf. Die Erpresserbande hinter der Ransomware Lockbit hebt den Professionalisierungsgrad auf eine neue Stufe. Sogar ein Bug-Bounty-Programm hat sie aufgelegt. Abgerufen am 20. August 2022 (Autorenkürzel dmk).
  4. Pierluigi Paganini: Accenture discloses data breach after LockBit ransomware attack. IT and consulting giant Accenture confirmed a data breach after the ransomware attack conducted by LockBit operators in August 2021. 15. Oktober 2021, abgerufen am 20. August 2022 (englisch).
  5. Bill Toulas: Foxconn confirms ransomware attack disrupted production in Mexico. 2. Juni 2022, abgerufen am 2. Juli 2023 (englisch).
  6. Eva Wolfangel: Wenn die psychischen Probleme der Angestellten im Netz landen. Es geht um 40 Terabyte Daten: Der Autozulieferer Continental wird seit einem Cyberangriff erpresst. Im Netz kursiert nun eine Liste mit Dateinamen – sie sind hochbrisant. In: Zeit Online. Zeit Online GmbH, 2. Dezember 2022, abgerufen am 2. Dezember 2022.
  7. Claudia Glover: LockBit 3.0 used in ransomware attack on Advanced that knocked out NHS 111 services. Some details of August's attack have emerged, but it is not known if patient data was stolen. 14. Oktober 2022, abgerufen am 2. Juli 2023 (englisch).
  8. Paul Kunert: Emergency services call-handling provider: Ransomware forced it to pull servers offline. Advanced's infrastructure still down and out, recovery to take weeks or more. 12. August 2022, abgerufen am 2. Juli 2023 (englisch).
  9. Advanced cyber-attack: NHS doctors' paperwork piles up. 30. August 2022, abgerufen am 2. Juli 2023 (englisch).
  10. Claudia Glover: LockBit 3.0 demands $60m from UK car dealership Pendragon. LockBit 3.0 has posted leading UK car dealership Pendragon onto its victim blog. The company is refusing to engage in ransom discussions. 25. Oktober 2022, abgerufen am 2. Juli 2023 (englisch).
  11. Bill Toulas: Pendragon car dealer refuses $60 million LockBit ransomware demand. 25. Oktober 2022, abgerufen am 2. Juli 2023 (englisch).
  12. Dr. Christopher Kunz: Erste LockBit-Version für macOS aufgetaucht. 17. April 2023, abgerufen am 15. April 2023.
  13. Russian National Charged with Ransomware Attacks Against Critical Infrastructure. Ransomware Attacks Against Law Enforcement Agencies in Washington, D.C. and New Jersey, As Well As Other Victims Worldwide; U.S. Department of State Offers Reward Up to $10M. 16. Mai 2023, abgerufen am 12. Mai 2023 (englisch).
  14. Daniel Schurter: LockBit erpresst Chiphersteller TSMC und fordert 70 Mio. – das steckt dahinter. Der taiwanische Apple-Zulieferer hat gegenüber watson «einen Cyber-Sicherheitsvorfall bei einem IT-Hardware-Lieferanten» bestätigt. Die Auswirkungen hielten sich aber in Grenzen. In: Watson. 2023, abgerufen am 2. Juli 2023.
  15. Matthew Gooding: LockBit ransomware group targeted with DDoS attack after Entrust data leak. The prolific cybercrime gang has seen its servers knocked offline in a sustained attack. 22. August 2022, abgerufen am 2. Juli 2023.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.