Mit der Verabschiedung der NIS2 durch die Europäische Kommission rückt die Absicherung von Software Supply Chains auch aus Compliance-Sicht in den Vordergrund. Aktuell droht die Ransomware-Gruppe Lockbit laut dem Nachrichtenportal Gizmodo mit der Veröffentlichung von Designs der Raumfahrtfirma Space X, nachdem sie einen Zulieferer gehackt haben wollen.
Nach den zahlreichen spektakulären Supply Chain-Sicherheitsvorfällen in den letzten Jahren unter anderem bei Betreibern kritischer Infrastrukturen ist klar, dass auch ohne den Hinweis auf Compliance Unternehmen mehr zur Absicherung ihrer Software Supply Chains tun müssen.
LockBit gilt als eine der aktivsten Ransomware-Gruppen und trat im September 2019 als Ransomware-as-a-Service (RaaS) auf. Seitdem hat sich LockBit 2.0 als Variante der ursprünglichen LockBit-Ransomware entwickelt. In dieser Zeit starteten die Cyberkriminellen auch mit dem Geschäftsmodell der doppelten Erpressung.
Die Ransomware-Gruppierung nutzt seit 2022 den Namen LockBit 3.0 oder LockBit Black und zielt aktiv vor allem auf Banken, Finanzdienstleistungen und Versicherungen (BFSI: Banking, Financial Services and Insurance), dass sie nun auch Software-Dienstleister in den Fokus nehmen, ist eine neue Entwicklung.
Die Gruppierung verhält sich ähnlich wie MegaCortex und LockerGoga: Die Ransomware verbreitet sich selbst, ist zielgerichtet und verwendet ähnliche Tools. Den Grad der Professionalisierung kann anhand des eigenen Bug-Bounty-Programms nachvollzogen werden.
Sicherheitsanalysten wie auch Hackern wurde in der näheren Vergangenheit die Möglichkeit gegeben, Schwachstellen in Projekten und Infrastrukturen zu finden, die im Dark Web gehostet werden. Es handelt sich also um ein ernstzunehmendes Cybergangster-Unternehmen.
Die Verteidigung gegen mehrere Ransomware-Angriffe kann eine sehr schwierige Aufgabe sein, aber es gibt mehrere bewährte Verfahren, die Unternehmen umsetzen können, um das Risiko eines Angriffs zu minimieren:
- Regelmäßige Backups: Unternehmen sollten dafür sorgen, dass regelmäßig Sicherungskopien wichtiger Daten erstellt und sicher außerhalb des Netzes gespeichert werden.
- Software-Aktualisierungen: Sämtliche Software sollte auf dem neuesten Stand gehalten werden, einschließlich Betriebssysteme, Anwendungen und Sicherheitstools.
- E-Mail-Sicherheit: E-Mail-Sicherheitsmaßnahmen wie Filter müssen implementiert werden, um verdächtige Anhänge und Links zu blockieren.
- Netzwerksegmentierung: Eine Segmentierung des Netzwerks ist eine Grundvoraussetzung, um im Falle eines Angriffs die Verbreitung von Malware einzuschränken.
- Sensibilisierung der Benutzer: Alle Benutzer sollten über die Gefahren von Ransomware und darüber, wie wichtig es ist, verdächtige E-Mails und Links zu meiden, aufgeklärt werden.
- Anti-Malware-Lösungen: Anti-Malware-Lösungen sollten eingesetzt werden, damit Echtzeit-Scans und regelmäßige Updates durchgeführt werden, um neue Ransomware-Bedrohungen zu erkennen und zu verhindern.
- Incident Response-Plan: Mit das wichtigste Dokument ist ein Incident Response Plan in jeder Schublade der IT-Sicherheitsverantwortlichen, um sicherzustellen, dass das Unternehmen im Falle eines Angriffs schnell reagieren kann.
- Regelmäßige Tests: Regelmäßig die Sicherheitsmaßnahmen der Organisation und die Prozesse zur Reaktion auf Vorfälle testen, um sicherzustellen, dass sie Ransomware-Angriffe wirksam erkennen und darauf reagieren.
Wenn ein Angreifer bereits in ein Netzwerk eingedrungen ist, ist eine Kombination aus präzisen SIEM-Regeln und gut durchdachten SOAR-Playbooks der erste Schritt zur erfolgreichen Remediation des Sicherheitsvorfalls.