Cyberangriff mit LockBit 3:
Ein mittelständisches Unternehmen am Abgrund

Vor knapp einem Jahr habe ich begonnen, gemeinsam mit dem internen IT-Verantwortlichen eines mittelständischen Unternehmens die IT-Umgebung auf Sicherheitsrisiken zu analysieren. Ziel war es, eine neue Architektur zu entwerfen, die die Modernisierung der IT-Landschaft, den teilweisen Umzug in Cloud-Umgebungen und die Verbesserung der IT-Sicherheit umfasste. Das Unternehmen entschied sich daraufhin, die Maßnahmen umzusetzen und entsprechende Investitionen zu planen.

Kurz vor Weihnachten trat jedoch der Worst Case ein: Ein erfolgreicher Hacker-Angriff zerstörte die gesamte Infrastruktur. Backups und die Hyper-Visor-Server (ESXi) wurden kompromittiert, und die Daten wurden mit LockBit 3 verschlüsselt. Die erste Schadensbegutachtung war verheerend. Die letzte Tape-Sicherung war 1,5 Monate alt, und alle anderen Daten waren verloren. Um die Datenverluste zu minimieren, wurden mehrere Ansätze verfolgt:

• Fehlschlag Nr. 1: Entschlüsselungsversuch durch Drittanbieter
  Es gibt Unternehmen, die damit werben, LockBit-verschlüsselte Daten entschlüsseln zu können. In diesem Fall war das jedoch eine Fehlinformation. Trotz hoher Kosten blieb der Versuch erfolglos.
• Fehlschlag Nr. 2: Schlüssel der japanischen Polizei
  Ein weiterer Versuch wurde unternommen, indem Schlüssel getestet wurden, die von der japanischen Polizei im Rahmen ihrer Ermittlungen gesammelt worden waren. Obwohl die Erfolgsaussicht von Anfang an gering war, entschieden wir uns, diese Möglichkeit zu prüfen. Leider befand sich kein passender Schlüssel in der Sammlung, und auch dieser Ansatz blieb ohne Erfolg.
• Fehlschlag Nr. 3: Datenrettung von iSCSI-Volumes
  Die zerstörten iSCSI-Volumes der NAS-Systeme, auf denen die Backups gespeichert waren, wurden an ein Datenrettungsunternehmen gesendet. Auch hier war der Erfolg gleich null.

Nach eingehender Analyse der Funktionsweise von LockBit 3, insbesondere unter ESXi, konnte ich gut 90% der Daten aus den virtuellen Festplatten extrahieren. Dokumente, Zeichnungen, Tabellen, Bilder und einige Datenbanken wurden nahezu ohne Verluste wiederhergestellt. Für große Datenbanken wie Exchange Server oder ERP-Systeme war das Ergebnis jedoch ernüchternd. Aus Sicherheitsgründen teile ich die genaue Vorgehensweise hier nicht, um Cyberkriminellen keine Möglichkeit zu bieten, ihre Software anzupassen.

LockBit 3, auch bekannt als "LockBit Black", gehört zu einer Ransomware-as-a-Service (RaaS)-Gruppe. Die Entwickler stellen ihre Malware Affiliates zur Verfügung, die damit gezielt Unternehmen und Organisationen angreifen. Was diese Ransomware so gefährlich macht, ist ihre Fähigkeit, sich an verschiedene Plattformen wie Windows, Linux und ESXi-Server anzupassen. Hinzu kommen Mechanismen, die Sicherheitssoftware umgehen und sensible Daten exfiltrieren, um den Druck auf die Opfer zu erhöhen. Durch diese Kombination hat sich LockBit 3 als eines der bedrohlichsten Werkzeuge in der Cyberkriminalität etabliert.

Der Angriffsweg konnte nicht mehr nachvollzogen werden, da es keine Protokolle über Anmelde-Ereignisse oder Firewall-Logs über einen längeren Zeitraum gab. Dies machte es auch den Forensikern der Polizei unmöglich, den Angriffsweg und Informationen über den oder die Angreifer zu gewinnen. Zudem war die fehlende Absicherung der Veeam-Backup-Umgebung ein entscheidender Schwachpunkt. Ob die Angreifer über den Backup-Server Zugangsdaten erhalten oder ungepatchte Schwachstellen gezielt ausgenutzt haben, bleibt unklar.

Trotz der anfänglich aussichtslosen Situation funktionierte die Zusammenarbeit im Team hervorragend. Alle Beteiligten engagierten sich weit über das normale Maß hinaus, sodass die Umgebung rechtzeitig nach Weihnachten entsprechend dem neuen Sicherheitskonzept wieder aufgebaut und betriebsbereit war. Ein glücklicher Umstand war, dass der Angriff kurz vor der Betriebsruhe stattfand. Ein ähnlicher Vorfall zu einem anderen Zeitpunkt im Jahr hätte wirtschaftlich katastrophale Auswirkungen gehabt.

Dieser Fall verdeutlicht einmal mehr, wie sehr IT-Sicherheit ein ständiges Katz-und-Maus-Spiel ist. Es ist nicht die Frage, ob ein Angriff irgendwann erfolgreich ist, sondern wann. Jedes Unternehmen hat es selbst in der Hand, wie gravierend die Auswirkungen einer solchen Ransomware-Attacke sein können. Systeme mit microsegmentierten Netzwerken, die nur die minimal benötigten Netzwerkverbindungen erlauben und mit einem Intrusion Prevention System (IPS) gekoppelt sind, hätten beispielsweise das Nachladen von Schadcode über das Internet verhindert und somit die Katastrophe vermeiden könne

Prüfen Sie Ihre Sicherheitsvorkehrungen regelmäßig und passen Sie diese an die aktuelle Bedrohungslage an. IT-Systeme ändern sich schnell und weisen Sicherheitslücken auf, die oft unbemerkt bleiben. Ein Audit alle zwei Jahre reicht nicht aus, um rechtzeitig reagieren und Schäden begrenzen zu können.