Ein neuer Tag, eine neue Folge in der LockBit-Saga. Die neueste Entwicklung in der nicht enden wollenden Geschichte von cyberkriminellen Banden gegen Strafverfolgungsbehörden ist fast schon eine eigene Fernsehserie wert. Aber was bedeutet das für Sie - für die Person, die Ihr Unternehmen verteidigen und dessen Funktionsfähigkeit inmitten des ganzen Chaos aufrechterhalten muss?
Weiterführende Lektüre: AD-Sicherheitslücken schließen
Die Bande hinter dem Vorhang
Der jüngste Austausch von öffentlichen Erklärungen zwischen LockBit und der britischen National Crime Agency (NCA) und ihren Partnern - einschließlich des US-Justizministeriums und des Federal Bureau of Investigations - scheint eine Art Gedankenspiel zu sein. Dennoch gibt uns diese sich entwickelnde Situation einen weiteren Blick hinter den Vorhang der cyberkriminellen Aktivitäten.
Cyber-Kriminelle arbeiten wie jedes andere organisierte Unternehmen. Sie haben Lieferanten und Lieferketten, wie jedes andere Unternehmen auch. Und wie bei jeder geschäftlichen Transaktion beruhen diese Beziehungen auf einem gewissen Maß an Vertrauen. In der Welt der Kriminellen ist Vertrauen natürlich eine teure Währung.
Dieser verzerrte Sinn für Unternehmensstolz spiegelt sich in der Erklärung von LockBitSupp wider, der Person, die angeblich hinter der LockBit-Operation steht.
Ich finde die Betonung interessant: "... ich bin auf dem richtigen Weg", behauptet LockBitSupp, und "... kein Hack ... kann ein Unternehmen vom Gedeihen abhalten." Der Autor behauptet, er sei im Geschäft mit "Pentest mit Postpaid", was die kriminellen Ransomware-Bemühungen von LockBit fast legitim erscheinen lässt.
Dies unterstreicht, dass Cyberkriminalität eine gut organisierte Operation ist. Daher brauchen wir eine gut organisierte Verteidigung, um sie zu bekämpfen.
Ein nie endender Kampf
Der Kampf zwischen Verteidigern und Gegnern ist ein Kampf rund um die Uhr. Wie wir in früheren Fällen gesehen haben, war es nur eine Frage der Zeit, bis die Gruppe in ihrer Gesamtheit mit einem neuen Namen wieder auftaucht oder ihre Mitglieder sich anderen Ransomware-Gruppen anschließen. Nur haben nur wenige Experten für Cybersicherheit damit gerechnet, dass sie so schnell wieder auftauchen würden.
Täuschen Sie sich nicht: Die Ransomware-Geißel der letzten fünf Jahre hat die Aufmerksamkeit von CISA, NCA, Interpol, FBI und anderen globalen Strafverfolgungsbehörden auf sich gezogen. Sie kämpfen täglich darum, die rechtswidrigen Aktionen von LockBit, BlackBasta, CLOP, ALPHV und zahlreichen anderen Banden zu unterbinden, und zwar ernsthaft.
Doch LockBit erweist sich als zweischneidige Schlange. Obwohl die weltweite Beschlagnahmung ihrer Vermögenswerte in der vergangenen Woche ein großer Erfolg der Strafverfolgungsbehörden war, dauerte es nicht lange, bis die Gruppe ihre Aktivitäten wieder aufnahm. Mit mehr als 100 Millionen Dollar, die gestohlen wurden (nach Angaben der Strafverfolgungsbehörden), verfügt die Gruppe über die Mittel und die Motivation, so schnell wie möglich "wieder zur Tagesordnung überzugehen". Sie hatte sicher nicht vor, sich still und leise zurückzuziehen, nachdem sie von einer Reihe von Strafverfolgungsbehörden weltweit in Verlegenheit gebracht worden war.
Wie immer weisen wir unsere Kunden darauf hin, dass sie sich auf die Annahme einer Sicherheitsverletzung einstellen sollten. Cyberkriminelle Aktivitäten hören nicht auf und verlangsamen sich auch nicht. Sie dürfen niemals Ihre Wachsamkeit gegenüber Bedrohungsakteuren aufgeben. Um Ihre Mitarbeiter, Kunden und Partner zu schützen, ist es unerlässlich, die betriebliche Widerstandsfähigkeit zu erhöhen, einschließlich eines Backup- und Wiederherstellungsplans, der kritischen Werten wie der Identitätsinfrastruktur Priorität einräumt.
Was können Sie also tun?
Die meisten Unternehmen wissen, dass es sich nicht lohnt, Lösegeld zu zahlen. Aber um eine Entscheidung treffen zu können, brauchen Sie einen Plan, der Ihnen andere Optionen bietet. Wenn Sie Ihr digitales Ökosystem organisatorisch und operativ widerstandsfähig machen, können Sie sich wehren und die Belohnung, auf die kriminelle Ransomware-Banden angewiesen sind, ausschalten. So sieht der Aufbau von Resilienz aus:
- Identifizieren und bewerten Sie sofort Ihre kritischen Systeme. Dazu gehören Infrastrukturen wie Active Directory (AD) und andere Identitätsspeicher. 9 von 10 Cyberangriffen zielen auf AD.
- Gehen Sie davon aus, dass ein Verstoß vorliegt. Wenn Sie ein kompromittiertes System oder eine böswillige Aktivität (z.B. das Abfangen von Passwörtern) entdecken, gehen Sie davon aus, dass es weitere gibt, die Sie nicht entdeckt haben.
- Überwachen Sie Ihre Identitätsinfrastruktur (z.B. AD, Entra ID, Okta) auf nicht autorisierte Änderungen.
- Verschaffen Sie sich in Echtzeit einen Überblick über alle Änderungen an übergeordneten Netzwerkkonten und -gruppen.
- Sichern Sie Ihre Identitätssysteme kontinuierlich mit einem Cyber-First-Ansatz und ermöglichen Sie so eine schnelle, malwarefreie Wiederherstellung.
- Bewahren Sie eine Kopie jeder kompromittierten Umgebung auf, damit Sie eine vollständige forensische Untersuchung durchführen können.
Die Ransomware-Geißel muss Unternehmen nicht lähmen. Mit der richtigen Planung und einem organisatorischen Ansatz zur Sicherung kritischer Ressourcen können Sie dem Drama zuschauen, anstatt darin verwickelt zu werden.
