Mann sitzt vor Laptop und hackt
LockBit  - das müssen Sie zur Ransomware wissen (Bild: anatolir - stock.adobe.com)

Ratgeber Notebook & Computer LockBit Hacker - das müssen Sie zur Ransomware wissen

Sicherheit ist schon was Schönes. Vor allem, wenn Sie Ihren Laptop und Smartphone betrifft. Alle, die LockBit kennen, assoziieren mit dem Begriff daher nichts Gutes. Zurecht. LockBit ist eine Form von Ransomware, die darauf abzielt, den Zugang von Nutzern zu Computersystemen zu blockieren, um eine Lösegeldzahlung zu erpressen. Die Schadsoftware identifiziert automatisch potenziell lukrative Ziele, breitet sich schnell aus und verschlüsselt alle verfügbaren Computersysteme in einem Netzwerk. Good News: Die gefürchtete Bande LockBit hat zumindest einige technische Systeme nicht länger in Besitz. Behörden konnten erfolgreich die Kontrolle über eine bedeutende Webseite der Verbrecher übernehmen. Klingt schonmal gut. Aber wie genau funktioniert LockBit und was bedeutet nochmal Ransomware? Wir erklären Ihnen die wichtigsten Begriffe und sagen, wie Sie sich vor Schadsoftware schützen können.

Was ist LockBit Black?

LockBit Black, auch bekannt als LockBit 3.0, stellt die Weiterentwicklung von LockBit 2.0 dar, der Schadsoftware der LockBit Gruppe, einer der berüchtigtsten Ransomware Hackergruppen der vergangenen Jahre, die innerhalb kurzer Zeit hunderte Angriffe durchgeführt hat.      

In den vergangenen Jahren haben LockBit und ihre Komplizen zahlreiche namhafte Unternehmen weltweit infiltriert. Durch den Einsatz von Ransomware verschlüsseln sie Daten, Laufwerke und Backups in den Netzwerken ihrer Opfer und machen sie unzugänglich. Erst gegen Zahlung eines Lösegelds stellen sie einen Entschlüsselungs-Key zur Verfügung, um die Systeme wieder funktionsfähig zu machen. 

Zudem erhöht LockBit den Druck auf die Betroffenen, indem sie mit Veröffentlichung zuvor kopierter interner Daten drohen. LockBit führt die Angriffe nicht immer eigenhändig durch, sondern bedient sich auch eines gängigen Modells in der kriminellen Welt, des sogenannten "Affiliate"-Programms, bei dem sie mit anderen Kriminellen kooperieren, die ihre Ransomware und Dienste mieten. Dabei fordert LockBit eine Gewinnbeteiligung von 20 Prozent.

Gemäß den Angaben von Sicherheitsfirmen zählt LockBit zu den aktivsten Ransomware Gruppen. Laut der US Cybersicherheitsbehörde CISA hat LockBit seit 2020 mindestens 1700 Organisationen in den USA angegriffen. Zu den Opfern von LockBit zählen auch Unternehmen wie Boeing und die britische Royal Mail sowie verschiedene Krankenhäuser.

Was ist das Ziel einer Ransomware?

Die Ransomware, auch bekannt als Erpressersoftware oder Erpressungstrojaner, verdankt ihren Namen der Kombination aus "ransom" (Lösegeld) und "software" (Software). Sie bezeichnet Schadsoftware, die Dateien und Programme auf einem Computer oder Server verschlüsseln kann.

Wenn man also von Ransomware spricht, meint man eine gefährliche Art von Software, die es Hackern ermöglicht, den Zugang zu wichtigen Daten von Unternehmen und Privatpersonen zu blockieren und Geld zu verlangen, um die verschlüsselten Dateien und Programme freizugeben.

Die Verwendung dieser schädlichen Software führt oft dazu, dass der gesamte Computer gesperrt wird oder der Zugang zu IT Systemen verweigert wird. Die Lösegeldforderung erscheint üblicherweise direkt auf dem Bildschirm des betroffenen Geräts. Oftmals verlangen die Hacker die Bezahlung in Form von Bitcoins, was eine strafrechtliche Verfolgung erschwert.

Wie funktioniert LockBit?

Seit 2021 setzen die Hacker, damals noch als LockBit 2.0 bekannt, auf die sogenannte "double extortion" Methode. Dabei werden die Daten nicht nur auf dem ursprünglichen Medium verschlüsselt, sondern auch kopiert. Die Vorgehensweise der Gruppe ist wie folgt: LockBit infiziert das Gerät des Opfers und ändert die Dateiendungen in einen zufällig generierten Kauderwelsch wie z.B. "LwQnJFskm". Anschließend blockiert oder entfernt LockBit die Abwehrmechanismen des Systems. Darüber hinaus ändert sich der Desktop Hintergrund des Opfers, um auf den Angriff aufmerksam zu machen, und es wird eine Datei mit dem Namen [Kauderwelsch].README.text platziert.

3 Geräte schützen, nur für 2 zahlen!

Beim Komplettschutz 3 für 2 versichern Sie drei Geräte und erhalten den günstigsten Einzeltarif – bei gleichen Leistungen – kostenfrei.

  • Geräte auswählen
  • Komponenten hinzufügen
  • Geld sparen

Wie verbreitet sich LockBit?

Mann sitzt vor Computer und hackt
LockBit  - das müssen Sie zur Ransomware wissen (Bild: Gorodenkoff - stock.adobe.com)

LockBit 3.0 operiert weltweit in verschiedenen Ländern, darunter den USA, Großbritannien und der Ukraine. Dabei stellt die Gruppe anderen Hackern gegen Bezahlung den LockBit 3.0 Trojaner zur Verfügung und erhält im Falle eines Lösegelds einen Anteil.

Ähnlich wie andere Hackergruppen infiltriert auch die LockBit-Gruppe Unternehmen mit Maulwürfen, um an Daten, Passwörter, Zugänge und Informationen über die IT-Infrastruktur zu gelangen. Dies macht auch scheinbar gut geschützte Unternehmen zu potenziellen Opfern, da Angriffe von innen heraus seltener erwartet werden und schwerer abzuwehren sind.

Unter dem Slogan "Make Ransomware Great Again" streben sie danach, mit LockBit 3.0 in der Hackerrangordnung der Cyberkriminalität aufzusteigen, wenn nicht sogar die Spitze zu erreichen. Durch die Einbindung externer Hacker als Auftragsnehmer für potenzielle Ziele könnte ihnen das gelingen. 

Im Allgemeinen gibt es zwei Hauptarten von Ransomware: Der File-Encrypter und der Screenlocker.  

File-Encrypter

Der File-Encrypter verschlüsselt nur bestimmte oder alle Dateien auf dem betroffenen Gerät. Dabei wird oft die Drohung der Veröffentlichung privater Fotos als Druckmittel eingesetzt. File-Encrypter werden auch oft als Verschlüsselungstrojaner bezeichnet.        

Screenlocker

Der Screenlocker hingegen blockiert den gesamten Bildschirm und verhindert so die Nutzung des betroffenen Computers. Egal, welche Anwendung Sie öffnen, die Schadsoftware bringt immer wieder den gesperrten Bildschirm mit der Nachricht der Hacker in den Vordergrund. Eine Unterart davon ist der App-Locker. Diese Form der Ransomware verhindert den Zugriff auf Apps und Programme und wird häufig bei Smartphones und Tablets eingesetzt.

In der Regel wird das Inhaltsverzeichnis der Festplatte angegriffen. Je nach Ransomware werden dann entweder bestimmte Bereiche oder direkt alle Dateien auf dem Server gesperrt. In einigen Fällen verwenden Hacker auch eine Kombination beider Arten von Schadprogrammen. Nach einem solchen Angriff wird die Entschlüsselung der Dateien noch aufwändiger und komplizierter.

Wie entferne ich Ransomware?

Ransomware, wie auch andere Arten von Malware, kann sich durch Sicherheitslücken in Anwendungen, Software oder dem Betriebssystem einschleichen. Es gibt verschiedene wirksame Maßnahmen, um sich vor Ransomware zu schützen. Dazu gehört die Nutzung von Antivirenprogrammen oder speziellen Schutzprogrammen gegen Ransomware. 

Es ist wichtig, Updates Ihres Betriebssystems durchzuführen, um Sicherheitslücken zu schließen. Ebenso sollten Sie regelmäßig Backups Ihrer wichtigen Daten erstellen, um Ihre Daten wiederherstellen zu können. Halten Sie Ihre Software und Anwendungen auf dem neuesten Stand, da Updates oft Sicherheitsverbesserungen enthalten. Installieren Sie Browser-Plugins zum Schutz vor Bedrohungen. Zudem ist die Verwendung eines E-Mail-Scanners empfehlenswert, um schädliche Anhänge zu erkennen, bevor sie Ihr System erreichen.

Falls Ihr Laptop oder Smartphone von Ransomware befallen wurde, ist es wichtig, Ruhe zu bewahren. Prüfen Sie im Netz, ob es ähnliche Angriffe gab. Oft geben Hacker bei ihren Lösegeldforderungen auch den Namen der Ransomware an. Außerdem ist die Browserfunktion normalerweise noch zugänglich. Wenn Sie die Art der Infektion kennen, können Sie in der Regel schnell eine passende Lösung finden, um die Ransomware zu entfernen.

Wenn Daten gestohlen oder gelöscht wurden, sollten Sie die Polizei zu informieren. Sofern Sie Sicherungskopien Ihrer Dateien haben, versuchen Sie, die Ransomware mit einem Virenscanner zu entfernen. Nach Entfernung der Ransomware sollten Sie Ihr Betriebssystem neu installieren.

Wie lange dauert ein Ransomware-Angriff?

Die größte Herausforderung mit Ransomware besteht darin, dass sie erst entdeckt wird, wenn der Computer bereits infiziert ist. Wenn Sie feststellen, dass Sie betroffen sind, ist es bereits zu spät und es erscheint eine Benachrichtigung auf dem gesperrten Bildschirm. Zu diesem Zeitpunkt ist es oft schwer nachzuvollziehen, wann und wie das Gerät ursprünglich infiziert wurde. Nach einem Ransomware-Angriff beträgt die durchschnittliche Ausfallzeit 21 Tage. Wenn Sie das Lösegeld bezahlen, kann es mehrere Tage dauern, bis Sie den Entschlüsselungs-Key erhalten und die Verschlüsselung aufheben können.