Droht eine grosse Ransomware-Kampagne von Lockbit?

23. Juni 2023 um 07:30
  • security
  • ransomware
  • lockbit
  • cybercrime
  • kaspersky
image
Midjourney

Laut Kaspersky testet die berüchtigte Bande Malware auf diversen Architekturen, darunter Apple M1. Dafür hat Lockbit Code von anderen Banden übernommen – ein Trend unter Kriminellen.

Lockbit ist eine der aktivsten Ransomware-Banden weltweit: Im ersten Quartal 2023 haben die Kriminellen nicht weniger als 272 Opfer auf ihren Leakportalen zur Schau gestellt. Hierzulande wurden bereits Arztpraxen, ein Altersheim und ein Klosterdorf von Lockbit gehackt. Erst vor wenigen Tagen forderte die Bande das jüngste Opfer in der Schweiz: ein grosses Backunternehmen wird auf der Darkwebsite präsentiert, von diesem sollen am 7. Juli gestohlene Daten publiziert werden.
Nun haben Forscher von Kaspersky Indizien für eine bevorstehende Grosskampagne der Bande entdeckt: Sie teste ihre Malware derzeit auf verschiedenen Plattformen, schreibt das IT-Sicherheitsunternehmen. Die Forscher haben Lockbit-Samples gefunden, die auf mehrere Architekturen zugeschnitten sind, darunter ARM v6, ARM v7, FreeBSD und Apple M1. Bereits im Frühling war Lockbit-Software entdeckt worden, die speziell für MacOS konzipiert war.
image
Auszug aus einem Chat zwischen Lockbit und einem Opfer.
Kaspersky hat zudem beobachtet, dass die Bande verschiedenen Code zusammenträgt. Sie soll von den Banden Blackmatter, Darkside und Conti Codeteile übernommen haben. Dieser kann entweder durchgesickert sein oder er wurde erworben. Das stellt laut Kaspersky ein Trend im Ransomware-Kosmos dar. So hatte Lockbit nach dem Ende von Conti rund 25% des Codes der Bande übernommen und so eine neue Version der eigenen Malware erzeugt.

"Rorschach" stammt mutmasslich von Partnergruppe

Erst kürzlich wurde eine neue "Super-Ransomware" entdeckt, der Security-Forscher den Namen Rorschach gaben. Sie hatten wie im "Rorschach-Test" jeweils verschiedenes in der Malware gesehen und beschrieben sie schliesslich als eine Mischung der effektivsten Ransomware-Elemente, die jemals eingesetzt wurden. Entscheidend: Verbreitung im Netzwerk und Verschlüsselung sollen extrem schnell sein. Primär basiere die Software auf Lockbit, schreibt der IT-Sicherheitskonzern Trend Micro, es würden aber vermutlich auch andere Akteure hinter der potenten Software stehen.
Es könnte sich aber laut Trend Micro um eine Partnergruppe von Lockbit handeln. Lockbit macht mit ihren Codeübernahmen nicht nur die Software potenter, sondern erleichtert Partnern auch die Arbeit. Diese Einschätzung stützen Leaks aus den Chatverläufen der Bande: Sie soll ihre Software besonders userfreundlich gestalten, so dass sich das Angriffsportal mit wenig technischer Kenntniss nutzen lässt. Die Folge: Lockbit wurde von Interessenten überrannt, bis heute zählt die Bande die meisten Opfer als Einzelgruppe, wie Erhebungen von Kaspersky zu entnehmen ist.

Loading

Mehr zum Thema

image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025