Ransomware als Provisionsmodell
LockBit-Erpresser wollen künftig auch Mac-Nutzer ins Visier nehmen
Unter dem Namen LockBit tritt eine größtenteils russischsprachige Gruppierung auf, die ihr Geld mit Erpressungssoftware verdient. Nach dem Motto „Ransomware as a Service“ vermieten die Internetkriminellen ihre Software auf Provisionsbasis, und neuerdings scheinen sich nun auch Mac-Nutzer im Visier der LockBit-Entwickler zu befinden.
Keine konkrete Bedrohung
Einen konkreten Anlass für die diesbezüglich bereits auf verschiedenen Internetplattformen ausgerufene Panik gibt es bislang allerdings noch noch nicht. Während sich die Erpressungs-Tools von LockBit unter Windows und auch Linux schon seit geraumer Zeit als konkrete Bedrohung erweisen, müssen Mac-Nutzer zumindest bislang nichts befürchten. Aufhorchen sollte allerdings die Tatsache lassen, dass LockBit gegenüber dem Onlinemagazin BleepingComputer bestätigt hat, dass eine Mac-Variante ihrer Erpressungssoftware derzeit aktiv entwickelt wird.
"locker_Apple_M1_64": 3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79
As much as I can tell, this is the first Apple's Mac devices targeting build of LockBit ransomware sample seen…
Also is this a first for the "big name" gangs?
🤔@patrickwardle
cc @cyb3rops pic.twitter.com/SMuN3Rmodl— MalwareHunterTeam (@malwrhunterteam) April 15, 2023
Auslöser für die aktuellen Diskussionen war eine Veröffentlichung der Sicherheitsforscher MalwareHunterTeam auf Twitter. In dem Tweet wird drauf hingewiesen, dass man eine erste auf Macs abzielende Variante der LockBit-Ransomware in die Hände bekommen habe. Konkret wurden dabei verschiedene Versionen publik, die ebenso auf aktuelle und mit Apple-Prozessoren ausgestattete Mac-Modelle wie auch auf steinalte PowerPC-Systeme abzielen.
Von macOS standardmäßig blockiert
Der Sicherheitsforscher Patrick Wardle hat sich übers Wochenende ausführlich mit diesem Sachverhalt beschäftigt und kann vorerst dann auch die erwartete Entwarnung geben. Zumindest bislang geht von der Software keine konkrete Gefahr für Mac-Nutzer aus und es scheint fraglich, ob die LockBit-Programmierer überhaupt einen Weg finden, Standard-Installationen von macOS zu kompromittieren. Mangels einer offiziellen Signatur wird die Ausführung der Malware direkt beim ersten Startversuch von macOS blockiert.
Datenlösegeld als Geschäftsmodell
Generell sind die Auswirkungen der bereits für andere Betriebssysteme veröffentlichten Varianten der LockBit-Erpessungssoftware nicht zu unterschätzen. Die Programme verschlüsseln die Inhalte von Speichermedien und die betroffenen Nutzer erhalten ihre Daten – wenn überhaupt – nur zurück, wenn sie den oft horrenden Lösegeldforderungen der Erpresser nachkommen.
Deswgen:
Regelmäßige cold Backups fahren und hirn einschalten bevor man was ausführt, sonst bekommt man nur zu hören: „kein backup, kein Mitleid“
+1 Da haben Sie durchaus recht. Aber was ist, wenn die Backup – Lösungen auch kompromittiert werden ? Siehe den Beitrag hier über WD !? Ich habe in meiner Synology durchaus einige Ports offen…. allerdings habe ich aktiv alle FTP’s und andere Zugriffe eingeschränkt und nutze für Fernzugriff nur VPN …. Aber über eine einfache Fritz-Box-Lösung. Sooooo sicher ist AVM doch auch nicht….. was soll „Otto Normal User“ denn IT-Technisch alles draufhaben !?
BACKUP auf externer Platte + Fernzugriff nur über VPN – da ist man doch schon ziemlich gut dabei ! Und nichts installieren, was nicht aus seriöser Quelle stammt…. (Wie kontrolliere ich das noch mal ???) ;-)
Ich denke, das ein Großteil dieser Schadsoftware aufgrund der „Geiz-ist-geil-Mentalität“ der User verbreitet wird ! Da wird die schicke – teure Bezahlsoftware auf einmal gratis angeboten…. man paßt nicht auf und schwupp -> Daten weg !
Bleibt sicher, Leute ! Und…. Programmierer dürfen gerne bezahlt werden !
Mind. zwei lokale Backups, aufbewahrt an unterschiedlichen Orten. Und das ist sicher vor Hacks wie bei WD.
Deswegen sprach ich explizit von Cold backups. Also welche auf platten/bändern die nicht angeschhlossensind
Moin, also ihr „cold“ Backup bezieht sich an sich auf ja Datenbanken, nicht auf beweg- Daten, ich kann mir Denken was sie meinen.
Das scheitert nur leider schon bei Firmen an der Realität und bei privaten Rechner wohl eh.
Wer sichert schon per ftp oder arbeitet mit virtuellen Maschinen, privat wohl eher keiner.
Hier kommt wohl eher Time Maschine zum Einsatz.
Vorausgesetzt man hätte jetzt „cold“ Sicherungen.. es kann >= 1/2 Jahr dauern kann bis das „Schloss“ zugemacht wird, bis dahin sichert, jede Backup Methode, schon reichlich verschlüsselten Müll.
Der nächste kommt jetzt mit Quartals- Backup(s) nur leider sind >= 1/2 Jahr alte Bewegdaten auch in der Regel nicht mehr viel wert.
Kein einfaches Thema und schon gar nicht einfach zu lösen.. und eben auch nicht wenn man „cold“ Backup in den Raum wirft.
Ich mache mir da keinen Kopf. Der Privatmensch ist eher nicht die Zielgruppe für solche Leute. Ich wüsste echt nicht welche Daten mir irgendein Lösegeld wert wären. Neue Festplatte oder ggf. neuer Rechner und gut ist. Ja klar, schade um die Fotos oder sonstiges. Aber nichts an Daten ist für mich unersetzlich.
Falsch. Auch Kleinvieh macht Mist.
Es gibt mehrere Berichte darüber, dass mit dem SaS für Ransomware Private immer mehr ins Ziel geraten. Der Server probierts vollautomatisiert, schnell und wenns nicht geht, dann auf zum Nächsten.
Mehrere Backups offsite machen, macOS neuinstallieren und denen den Mittelfinger zeigen. Fertig.
Sehe ich auch so; mit einer funktionierenden Backupsystem sollten nur ein paar Dateien verloren sein. Ich nutze natürlich TimeMachine mit zwei Festplatten. Dann noch CCC mit zwei Festplatten, mehreren SSD und die Daten sind auch auf ein NAS angelegt. Und das für jeden Rechner (iMac, MBP und MBA). Zusätzlich noch alte Festplatten zum Sichern des Dokumenten-Ordners (unregelmäßig durch einfaches Kopieren). Also Mac befallen!? Mac platt machen, neu aufsetzen und Backup einspielen. Ok, sicher etwas nervig, aber der mittlere Zeigefinger in Richtung der Orks.
Solche Typen müssen härter bestraft werden Die Stürzen ganze Familie in den Abgrund
Und Unternehmen…
Und Familienunternehmen.
Und Unternehmen von Großeltern
Vergesst die familieninvestoren nicht die auch an Familienunternehmen hängen
Härter bestrafen? Wer soll das denn tun? Diese Typen agieren in einem ganz speziellen System was mit Rechtsstreitigkeit nach unseren Maßstäben nichts zu tun hat. Vermutlich wird deren Vorgehen vom russischen Staatsapparat mindestens toleriert, wenn nicht sogar unterstützt oder sogar beauftragt. Das ist nämlich eine Art einen Cyberkrieg zu führen.
+1
So sieht’s leider aus.
Tja, leider kann man Russland nicht vom Internet abhängen. Mit solchen Ländern und Organisationen werden wir uns dauerhaft abfinden müssen. Ich mache mir Sorgen um Infrastrukturziele. Was man alleine durch Zugriff auf Flughäfen, Energieunternehmen, Wasserwerken etc anrichten könnte ist kaum zu beschreiben. Ich hoffe die Verantwortlichen haben Hirn genug um die Systeme so einzurichten das sie auch noch im Falle eines solchen Cyberangriffes funktionsfähig gehalten werden können.
Richtig Strafen zum Abschrecken wie die drei mittleren Finger unbrauchbar machen Diese Leute nützen unsere Demokratie aus und unsere Politiker schauen einfach nur zu Teilweise sind unsere Gesetze aus der Steinzeit
Ja, das Mittelalter hatte was.
Timemachine for the win
Nicht, wenn dein Backup-Volume verschlüsselt wird.
Eine klares und eindeutiges: Nein!
Erpressung mit Ansage :-)
Vielleicht wäre es besser für Unternehmen wie Apple und Microsoft die Milliarden verdienen, mal ein paar Dollar zu investieren damit man solche Erpresser schneller findet und Ihnen das Handwerk versaut.
Und was hat man damit gewonnen wenn man Igor in Moskau identifiziert hat? Was bringt es? Russland entzieht sich der Rechtsstaatlichkeit. Soll Apple dann eine eigene Spezialoperation in Russland starten? Bringt also gar nichts.
Ich mach mir da auch nich ins Hemd, meine Daten liegen alle zusätzlich auf dem NAS, + TimeMachine Backup, +Offline SSD. Zu überlegen wäre nur schonmal ne Animation zu erstellen die auslachend den Mittelfinger zeigt :-)
1+
Immer diese Experten mit Cold-Backups. Einfach stündlich Backups machen und diese versioniert spiegeln ins Rechenzentrum. Selbst wenn dann das Backup verschlüsselt ist, nimmt man einfach eine Version früher. So fehlt einem maximal eine Stunde.
Dafür erstmal den benötigten upstream haben, aber das wird dir experte ja bewusst sein ;-)
Als Firma/Freiberufler sollte das generell kein Problem sein und als Privatperson wird wohl bis auf wenige Ausnahmen im Jahr sogar eine tägliche Sicherung schon Overkill sein, das sollte jeder Anschluss ab 6k dann auch schaffen und die sind nu wirklich mittlerweile schon die seltenheit
Versioniert bedeutet das nur Änderungen den Upload belegen. Die Datenmengen in einer Stunde liegen da meist im Rahmen. Ausnahme gibts auch dort natürlich, hier kann man jedoch mit einem zweiten NAS das Rechenzentrum ersetzen oder zumindest Daten Zwischenspeichern bis der Upload ins Rechenzentrum erfolgt. Auch auf einem zweiten NAS kann man versioniert sichern. Der größte Fehler ist meistens eine undurchdachte Backup-Strategie oder eine welche nie getestet wurde. In Schutz nehmen muss man hier allerdings die IT-Abteilungen die Ihr Budget von Sesselpupsern zugewiesen bekommen die null Ahnung haben, hinterher aber am lautesten jammern warum die Systeme nach 4 Wochen noch immer nicht wiederhergestellt sind. Siehe Deutsche Bahn.
Nur Blöd ist das das „Schloss“ auch erst nach >= 1/2 Jahr zugehen kann.
Viel Spaß mit 1/2 Jahr alten Daten.
In Russland kann man doch Leute einfach so verschwinden lassen – macht doch mal!
Die sind bestimmt klug genug, sich nur Firmen aus dem Westen auszusuchen. Die sind ja per Gesetz schon Freiwild dort…
Ist es denn überhaupt sicher, das nach Zahlung des Lösegeldes die Daten wieder entschlüsselt werden? Alleine aus dieser Unsicherheit würde ich schon nicht zahlen.
Laut yelp soll’s da keine Probleme geben, aber naja, wer so Software bauen kann, kann auch gute Bewertungen fälschen
Bei Erpressungen sollte man grundsätzlich nicht bezahlen. Egal bei was, durch bezahlen wird es immer noch schlimmer.
Zitt: „und auch Linux schon seit geraumer Zeit als konkrete Bedrohung erweisen“
Seit wann? Es waren nur Windows-Systeme betroffen. Linux-Distributionen benutzen noch sehr viel weniger Leute als macOS. Und viele sind finanziell oft nicht gut ausgestattet (oft in Forschung, akademischen Bereichen u.s.w.). Von daher wäre macOS sowieso lukrative für die A….