Swachchhanda Shrawan Poudel, Security Analytics Engineer bei Logpoint, beschreibt in einem Gastbeitrag, wie Lockbit als Ransomware erfolgreich bleibt. | Swachchhanda Shrawan Poudel, security analytics engineer at Logpoint, describes how Lockbit remains successful as ransomware in a guest post. |
|---|---|
| LockBit ist eine Erpressungs-Software (Ransomware), die nach dem RaaS-Modell (Ransomware-as-a-Service) funktioniert und für ihre hartnäckigen und erfolgreichen Angriffe auf Unternehmen weltweit bekannt ist. Seit Ende 2019 hat die Gruppe eine Reihe von Unternehmen ins Visier genommen und dabei mehrere Erpressungsstrategien und Technologien eingesetzt, um den Erfolg ihrer Operationen zu steigern. Mittlerweile ist sie eine der am weitesten verbreiteten Malware-Varianten mit einer geschätzten Erpressungssumme von über 100 Millionen US-Dollar. Geschichte der Ransomware Die Ransomware hat sich seit ihrer ersten Entdeckung im September 2019 als ABCD-Ransomware stark weiterentwickelt und verändert. Beispiele hierfür sind LockBit 2.0 oder LockBit Red, das im Juni 2021 debütierte und mit StealBit ein integriertes Tool zum Diebstahl von Informationen bot. LockBit Linux-ESXi Locker Version 1.0 wurde im Oktober 2021 veröffentlicht und erweiterte seine Fähigkeiten, indem es Angriffe auf Linux- und VMware ESXi-Systeme ermöglichte. Eine weitere Weiterentwicklung erfolgte im März 2022 mit LockBit 3.0, das auch als LockBit Black bekannt ist und Ähnlichkeiten mit den Ransomware-Programmen BlackMatter und Alphv aufweist. Der durchgesickerte LockBit 3.0-Konstruktor ermöglichte im September 2022 auch Nicht-LockBit-Partnern den Zugriff. Im Januar 2023 tauchte in der Szene die Ransomware LockBit Green auf, die den Quellcode der Ransomware Conti enthielt. Darüber hinaus wurden im April 2023 Verschlüsselungsprogramme der Ransomware LockBit entdeckt, die auf macOS-Geräte abzielten, was auf eine zunehmende Reichweite der Malware hindeutet. Ransomware-as-a-Service als Initialzündung Bis heute ist LockBit eine der aktivsten und profitabelsten Ransomware-Gruppen, die nicht nur Windows-Rechner, sondern auch Linux- und VMware ESXi-Systeme, macOS und virtuell gehostete Rechner angreift und Hunderte Millionen Dollar allein durch Lösegeldzahlungen einnimmt. Das Ransomware-as-a-Service (RaaS)-Modell von LockBit erweitert seine Reichweite und Wirkung. Es zieht nun Partner an, die die Ransomware einsetzen. Diese Partner werden durch Vorauszahlungen, Abonnementgebühren und Gewinnbeteiligung angelockt. Infolgedessen weisen LockBit-Ransomware-Angriffe ein breites Spektrum an beobachteten Taktiken, Techniken und Verfahren (TTPs) auf. Diese signifikanten Unterschiede in den TTPs stellen eine große Herausforderung für Organisationen dar, die an der Aufrechterhaltung der Netzwerksicherheit und dem Schutz vor Ransomware-Bedrohungen arbeiten. | LockBit is an extortion software (ransomware) that operates on the ransomware-as-a-service (RaaS) model and is known for its persistent and successful attacks on enterprises worldwide. Since late 2019, the group has targeted a number of companies, using multiple extortion strategies and technologies to increase the success of its operations. Meanwhile, it is one of the most widespread malware variants with an estimated extortion amount of over $100 million. History of Ransomware Ransomware has evolved and changed significantly since it was first discovered in September 2019 as ABCD ransomware. Examples include LockBit 2.0 or LockBit Red, which debuted in June 2021 and featured StealBit, an integrated tool to steal information. LockBit Linux-ESXi Locker version 1.0 was released in October 2021 and expanded its capabilities by enabling attacks on Linux and VMware ESXi systems. Another advancement came in March 2022 with LockBit 3.0, which is also known as LockBit Black and shares similarities with BlackMatter and Alphv ransomware programs. The leaked LockBit 3.0 constructor allowed access to non-LockBit partners in September 2022. In January 2023, LockBit Green ransomware emerged on the scene, which contained the source code of the Conti ransomware. In addition, in April 2023, LockBit ransomware encryption programs were discovered targeting macOS devices, indicating an increasing reach of the malware. Ransomware-as-a-service as the initial spark To date, LockBit is one of the most active and profitable ransomware groups, attacking not only Windows machines but also Linux and VMware ESXi systems, macOS and virtually hosted machines, earning hundreds of millions of dollars from ransomware alone. LockBit’s Ransomware-as-a-Service (RaaS) model is expanding its reach and impact. It is now attracting partners to deploy the ransomware. These partners are lured by upfront payments, subscription fees and profit sharing. As a result, LockBit ransomware attacks exhibit a wide range of observed tactics, techniques, and procedures (TTPs). These significant differences in TTPs pose a significant challenge to organizations working to maintain network security and protect against ransomware threats. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de