LockBit greift Windows-Domänenserver in Vietnam an

Sicherheitsexperten sagen, dass die Malware sowohl im Verschlüsselungsskript als auch in ihrer Verbreitung viele weitere ausgefeilte Verbesserungen erfahren hat und in der Lage ist, herkömmliche Sicherheitslösungen zu umgehen.

In den letzten zwei Monaten erhielten die Experten von Bkav kontinuierlich Hilfeanfragen von zahlreichen Unternehmen in Vietnam. Häufig kam es vor, dass die Computer im internen Netzwerk alle gleichzeitig verschlüsselt waren und die Daten nicht gerettet werden konnten.

Untersuchungs- und Analyseergebnisse aus vielen Fällen zeigen, dass der Übeltäter hinter der Datenverschlüsselung LockBit 3.0, auch bekannt als LockBit Black, ist, eine Ransomware einer bekannten Hackergruppe, die kürzlich von der International Police Alliance (darunter die britische National Crime Agency – NCA, das US-amerikanische Federal Bureau of Investigation – FBI und die Polizeiagentur der Europäischen Union – Europol) zerstört wurde.

LockBit Black verfügt über ausgefeiltere Verbesserungen als frühere Varianten. Sie sind speziell auf Windows-Domänenverwaltungsserver im internen System ausgerichtet. Nach der Infiltration nutzt der Virus diese Server, um sich im gesamten System zu verbreiten, Sicherheitslösungen (Antivirenprogramm, Firewall) zu deaktivieren, Schadcode zu kopieren und auszuführen usw. Auf diese Weise kann der Virus alle Rechner im internen System gleichzeitig verschlüsseln, ohne wie bisher jeden einzelnen Rechner einzeln angreifen zu müssen.

LockBit Black ändert nicht nur seine Methode und sein Ziel, sondern bietet auch ein gefährlicheres Szenario für die Datenverschlüsselung. Anstatt Daten direkt beim Start zu verschlüsseln, erweitert der Virus seine Berechtigungen, umgeht anschließend die Benutzerkontensteuerung und startet den Computer des Opfers schließlich im abgesicherten Modus (ein Modus, in dem nur das System und einige Anwendungen gestartet werden) neu. Dort führt er die Datenverschlüsselung durch. Auf diese Weise kann die Malware gängige Sicherheitslösungen umgehen.

Um Angriffe durch LockBit und andere Datenverschlüsselungsviren zu vermeiden, empfehlen die Experten von Bkav Benutzern und Systemadministratoren Folgendes:

• Sichern Sie wichtige Daten regelmäßig.
  
• Öffnen Sie interne Service-Ports zum Internet nicht, wenn dies nicht erforderlich ist.
  
• Bewerten Sie die Sicherheit von Diensten, bevor Sie sie für das Internet öffnen.
  
• Installieren Sie eine ausreichend starke Antivirensoftware für einen ständigen Schutz.