Droht eine grosse Ransomware-Kampagne von Lockbit?

23. Juni 2023 um 07:30
  • security
  • ransomware
  • lockbit
  • cybercrime
  • kaspersky
image
Midjourney

Laut Kaspersky testet die berüchtigte Bande Malware auf diversen Architekturen, darunter Apple M1. Dafür hat Lockbit Code von anderen Banden übernommen – ein Trend unter Kriminellen.

Lockbit ist eine der aktivsten Ransomware-Banden weltweit: Im ersten Quartal 2023 haben die Kriminellen nicht weniger als 272 Opfer auf ihren Leakportalen zur Schau gestellt. Hierzulande wurden bereits Arztpraxen, ein Altersheim und ein Klosterdorf von Lockbit gehackt. Erst vor wenigen Tagen forderte die Bande das jüngste Opfer in der Schweiz: ein grosses Backunternehmen wird auf der Darkwebsite präsentiert, von diesem sollen am 7. Juli gestohlene Daten publiziert werden.
Nun haben Forscher von Kaspersky Indizien für eine bevorstehende Grosskampagne der Bande entdeckt: Sie teste ihre Malware derzeit auf verschiedenen Plattformen, schreibt das IT-Sicherheitsunternehmen. Die Forscher haben Lockbit-Samples gefunden, die auf mehrere Architekturen zugeschnitten sind, darunter ARM v6, ARM v7, FreeBSD und Apple M1. Bereits im Frühling war Lockbit-Software entdeckt worden, die speziell für MacOS konzipiert war.
image
Auszug aus einem Chat zwischen Lockbit und einem Opfer.
Kaspersky hat zudem beobachtet, dass die Bande verschiedenen Code zusammenträgt. Sie soll von den Banden Blackmatter, Darkside und Conti Codeteile übernommen haben. Dieser kann entweder durchgesickert sein oder er wurde erworben. Das stellt laut Kaspersky ein Trend im Ransomware-Kosmos dar. So hatte Lockbit nach dem Ende von Conti rund 25% des Codes der Bande übernommen und so eine neue Version der eigenen Malware erzeugt.

"Rorschach" stammt mutmasslich von Partnergruppe

Erst kürzlich wurde eine neue "Super-Ransomware" entdeckt, der Security-Forscher den Namen Rorschach gaben. Sie hatten wie im "Rorschach-Test" jeweils verschiedenes in der Malware gesehen und beschrieben sie schliesslich als eine Mischung der effektivsten Ransomware-Elemente, die jemals eingesetzt wurden. Entscheidend: Verbreitung im Netzwerk und Verschlüsselung sollen extrem schnell sein. Primär basiere die Software auf Lockbit, schreibt der IT-Sicherheitskonzern Trend Micro, es würden aber vermutlich auch andere Akteure hinter der potenten Software stehen.
Es könnte sich aber laut Trend Micro um eine Partnergruppe von Lockbit handeln. Lockbit macht mit ihren Codeübernahmen nicht nur die Software potenter, sondern erleichtert Partnern auch die Arbeit. Diese Einschätzung stützen Leaks aus den Chatverläufen der Bande: Sie soll ihre Software besonders userfreundlich gestalten, so dass sich das Angriffsportal mit wenig technischer Kenntniss nutzen lässt. Die Folge: Lockbit wurde von Interessenten überrannt, bis heute zählt die Bande die meisten Opfer als Einzelgruppe, wie Erhebungen von Kaspersky zu entnehmen ist.

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1