LockBit, Ransomware, die von Hackern zur Datenverschlüsselung genutzt wird, ist nun auch zu einem Problem vieler kleiner und mittelständischer Unternehmen geworden. Neu sind dabei die von Hackern verwendeten Angriffstools (PowerShell-Tools), die darauf programmiert wurden, in dem gehackten Netzwerk bestimmte Geschäftsanwendungen zu finden und zu erkennen.
Wenn der erzeugte Fingerabdruck der Anwendung den Schlüsselwort-Kriterien entspricht, führen die Tools die LockBit-Attacke aus. Dabei liegt der Fokus der Tools besonders auf unternehmensrelevante Systeme, die Finanzdaten speichern und das Tagesgeschäft abwickeln wie z.B. Steuer- und Buchhaltungssoftware.
Darüber hinaus sorgen weitere neue Methoden zu einer noch schwereren Erkennung und Zurückverfolgung des Angriffes. Durch die Umbenennung von PowerShell-Dateien und Verwendung eines Remote-Google-Dokuments für Befehls- und Kontrollkommunikation wird unter anderem der Eindruck von normalen, automatisierten Verwaltungsaufgaben und legitimen Tools geschaffen. Genutzt werden zudem z.B. getarnte Kopien von Windows-Scripting-Komponenten, die dann den Taskplaner von Windows benutzten, um sie zu starten. Zusätzlich modifizieren sie den eingebauten Anti-Malware-Schutz so, dass er nicht mehr funktionieren kann. Die Ransomware verbreitet sich daraufhin innerhalb von fünf Minuten und löscht sämtliche Aktivitätsprotokolle.
Durch das Verschlüsseln besonders unternehmensrelevanter Daten erhöhen die Täter den Druck auf ihre Opfer und fordern für den Schlüssel der verschlüsselten Daten ein hohes Lösegeld. Damit nicht auch Sie Opfer eines solchen Angriffes werden, empfehlen wir einen Malware-Schutz, der sämtliche Systeme abdeckt. Zudem müssen alle Dienste geschützt und korrekt konfiguriert sein, um hier keine Lücken entstehen zu lassen.