Lockbit: Neue Malware-Kampagne und Social-Engineering-Tricks

Es ist wieder soweit – die kriminelle Cybergang Lockbit sorgt erneut für Schlagzeilen. Nachdem letzte Woche der Anführer der Bande enttarnt wurde und eine Belohnung für Hinweise auf ihn ausgesetzt wurde, reagiert die Bande nun mit einer eiligen Veröffentlichung von vermeintlichen und echten Datendiebstählen. Aber das ist noch nicht alles: Die Cybersicherheitsbehörde des US-Bundesstaats New Jersey warnt seit dem Wochenende auch vor einer aktuellen Malware-Kampagne namens Lockbit Black.

Auf der Webseite der IT-Sicherheitsbehörde von New Jersey wird erklärt, dass ihr E-Mail-Sicherheitssystem eine neue Kampagne namens Lockbit Black aufgedeckt hat. Die Experten nennen diese auch liebevoll Lockbit 3.0-Malware. Es wurden Berichte über IT-Zwischenfälle erstellt und die Kampagne von Informations- und Analysezentren überwacht. Wer sich für eine detaillierte Analyse interessiert, kann beispielsweise auf der ThreatDown-Webseite vorbeischauen.

Den Berichten zufolge enthielten die E-Mails, die Teil dieser Ransomware-Kampagne waren, einen schädlichen ZIP-Dateianhang. Die Absenderadresse lautete oft JennyBrown3422@gmail.com oder Jenny@gsd.com. In der ZIP-Datei verbarg sich eine ausführbare Datei, die als Bildschirmschoner getarnt war. Sobald das Betriebssystem gestartet wurde, kam die Lockbit-Ransomware zum Vorschein und begann fleißig mit der Verschlüsselung.

Die Beamten aus New Jersey konnten Instanzen, die mit der Kampagne in Verbindung gebracht wurden, dem Phorpies-Botnet (auch bekannt als Trik) zuordnen. Mehr als 1500 Quell-IP-Adressen wurden identifiziert, von denen aus die Malware verschickt wurde. Die Hauptländer, die dank der Geo-IP-Zuordnung ermittelt wurden, sind China, Iran, Kasachstan, Russland, Usbekistan und andere. Einige der ausführbaren Lockbit-Dateien stammen beispielsweise von den IP-Adressen 193.233.132.177 und 185.215.113.66.

Die Betreffzeilen der E-Mails lauteten unter anderem “Your Document” oder “Photo of you???”. Klingt verlockend, oder? Aber Vorsicht ist geboten!

Neben der Lockbit-Gang haben das FBI und die CISA vor Kurzem auch vor der Cybergang Black Basta gewarnt, die angeblich in den letzten zwei Jahren über 500 Organisationen attackiert hat. Und als wäre das nicht genug, hat die IT-Sicherheitsfirma Rapid7 nun eine aktuelle Social-Engineering-Kampagne beobachtet, die angeblich von den kriminellen Hintermännern der Lockbit-Ransomware ausgeht.

Die Angreifer bombardieren die Nutzer mit einer Vielzahl von Spam-E-Mails und kontaktieren sie anschließend telefonisch. Dabei bieten sie ihre Hilfe an und fordern das Opfer auf, eine vermeintliche Fernüberwachungssoftware wie Anydesk oder Microsofts integrierte Schnellhilfe herunterzuladen, um eine Verbindung herzustellen. Sobald die Verbindung steht, laden die Angreifer schädliche Software von ihrer Infrastruktur herunter, um die Zugangsdaten der betroffenen Nutzer zu stehlen und dauerhaften Zugriff einzurichten.

In einem Vorfall wurde von den IT-Forschern festgestellt, dass Cobalt-Strike-Beacons auf andere Geräte im infiltrierten Netzwerk installiert wurden. Auch wenn keine direkte Installation der Black Basta-Ransomware beobachtet wurde, gab es bereits Hinweise auf eine Infektion mit Black Basta. Anscheinend hat das kriminelle Tätigkeitsfeld der Cyberbande sich erheblich erweitert.

Man könnte sagen, Lockbit und Black Basta sind die Stars der Cyberkriminalität. Aber keine Sorge, wir können ihnen die Show stehlen, indem wir wachsam bleiben und unsere Sicherheitsvorkehrungen auf dem neuesten Stand halten. Und wenn du eine verdächtige E-Mail mit dem Betreff “Photo of you???” erhältst, solltest du sie lieber nicht öffnen. Wer weiß, was dich da erwartet – außer vielleicht eine unangenehme Begegnung mit der Ransomware.

Schlagwörter: New Jersey + Lockbit Black + com

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 14. Mai 2024