logo SOS Ransomware
Kontakt 24/7
,

Ransomware-Gruppe LockBit gehackt: Ironie des Schicksals offenbart unerwartete Schwachstellen

Überraschender Angriff auf eine der mächtigsten Gruppen der Cyberkriminalität.

In einer atemberaubenden Wendung wurde die Ransomware-Gruppe LockBit, die lange Zeit als gefürchtete Kraft in der Welt der Cyberkriminalität galt, Opfer eines großen Hackerangriffs.

An diesem 29. April 2025 wurden nämlich Daten, die sich auf ihrer angeschlossenen Verwaltungsschnittstelle befanden, extrahiert und öffentlich veröffentlicht – auf ihren eigenen Webseiten. Die Ironie ist grausam und vielsagend zugleich: Selbst die Akteure des digitalen Verbrechens sind nicht vor ihren eigenen Methoden gefeit.

Lockbit pwned
Lockbit pwned: Bereitstellung von Daten aus dem Affiliate-Panel (Link zum Tweet).

Der Vorfall hat somit einen ganzen Teil des Lockbit-Ökosystems ans Licht gebracht, der für Cybersicherheitsforscher bislang undurchsichtig war.

Es ist nicht das erste Mal, dass die Bande Rückschläge erleidet: Im Mai 2024 führten internationale Strafverfolgungsbehörden beispielsweise die Operation Cronos durch, in deren Folge mehrere wichtige Mitglieder festgenommen wurden, darunter Dmitry Yuryevich Khoroshev, der mutmaßliche Betreiber hinter dem Pseudonym LockBitSupp.

Doch dieses neue Leck ist weit mehr als nur ein Schlag ins Gesicht und könnte weitreichende Folgen haben, sowohl für die interne Organisation der Gruppe als auch für das Verständnis der Taktiken, die von Ransomware-as-a-Service (RaaS) verwendet werden.

Revelations Lockbit hacking

Ein nie zuvor dagewesener Einblick in das Innere eines kriminellen Imperiums

Daten enthüllen undurchsichtige Praktiken

Die offengelegte SQL-Datenbank enthält aufschlussreiche Informationen: mehr als 75 angeschlossene Konten, Tausende von Gesprächen mit Opfern, 60.000 Bitcoin-Adressen und sogar im Klartext gespeicherte Passwörter (‚Weekendlover69, ‚MovingBricks69420‘, and ‚Lockbitproud231‘).

Für Open-Intelligence-Spezialisten stellt dieser Schatz eine seltene Gelegenheit dar , die interne Funktionsweise eines strukturierten kriminellen Netzwerks im Detail zu analysieren.

Besonders auffällig: eine Zeitspanne von bis zu zehn Tagen zwischen der Datenexfiltration und der endgültigen Verschlüsselung. Dies unterstreicht die zunehmende Bedeutung der Erkennung von Seitwärtsbewegungen und Datentransfers, bevor eine Lösegeldforderung gestellt wird.

Ein komplexes, aber verwundbares RaaS-Modell

LockBit basiert auf einem Franchise-Modell: Ein zentraler Kern entwickelt die Tools, während Affiliates die Angriffe ausführen.

Von den 75 erfassten Konten waren zum Zeitpunkt des Leaksnur 44 aktiv, geschweige denn an offensiven Operationen beteiligt.

Nur sieben schienen Kampagnen in Echtzeit durchzuführen. Diese hierarchische Struktur ist zwar kosteneffizient, zeigt aber ihre Grenzen auf, wenn die Sicherheit des Kerns erreicht wird.

Darüber hinaus war in den Gesprächen zwischen Unterhändlern und Opfern ein beunruhigender Trend zu beobachten: Die geforderten Lösegelder bewegen sich häufig um 20.000 $ oder sogar darunter, wobei Monero deutlich bevorzugt wird, das oft mit einem Rabatt von 20 % gegen sofortige Zahlung angeboten wird.

Diese Wahl spiegelt einen verstärkten Wunsch nach Anonymität wider, um den zunehmenden Bemühungen der Behörden, kryptografische Ströme zurückzuverfolgen, entgegenzukommen.

Die Geografie der Ziele verändert die Lage

Der asiatisch-pazifische Raum steht im Mittelpunkt der Operationen.

Entgegen der landläufigen Meinung sind es nicht Europa oder Nordamerika, die LockBit-Anhänger hauptsächlich anziehen, sondern der asiatisch-pazifische Raum, auf den 35,5 % der anvisierten Ziele entfallen.

China steht mit 51 identifizierten Opfern an derSpitze, gefolgt von Indonesien (49) und Indien (35). Dieser regionale Schwerpunkt legt nahe, dass die Bedrohungen gegen diese Länder unterschätzt werden, da die Cybersicherheit dort manchmal noch weniger ausgereift ist oder weniger in den Medien thematisiert wird.

Einige Affiliates wie PiotrBond oder Umarbishop47 konzentrieren mehr als 75 Prozent ihrer Angriffe auf diese Region, was eine strategische Segmentierung verdeutlicht.

Umgekehrt scheint Südkorea in den Daten unterrepräsentiert zu sein, ohne dass sich der genaue Grund dafür ermitteln lässt.

Quelle: computerweekly.com

Eine asymmetrische Targeting-Strategie

Die Daten zeigen auch ein faszinierendes Phänomen: Die aktivsten Affiliates haben es nicht unbedingt auf die lukrativsten Opfer abgesehen.

Viele zielen auf kleinere Organisationen in Ländern mit mittlerem Welteinkommen ab. Diese Strategieänderung kann auf eine geringere Verfügbarkeit von Talenten nach den Verhaftungen im Zusammenhang mit derOperation Cronos , oder auf den Wunsch zurückzuführen sein, den geopolitischen Druck zu minimieren, indem man die großen Volkswirtschaften meidet.

Démantèlement de Lockbit
Beschlagnahmebildschirm der Website der Lockbit-Gruppe während der Operation Cronos.

Was dies über die Widerstandsfähigkeit von Ransomware-Gruppen aussagt.

Ein geschwächtes, aber nicht ausgestorbenes System

Trotz der Schläge der Strafverfolgungsbehörden und während dieses peinlichen Lecks versucht LockBit, seine Präsenz aufrechtzuerhalten.

Im Dezember 2024 hatte die Gruppe ihre bevorstehende Rückkehr für Februar 2025 angekündigt. Einige Monate später behaupten zwar einige, dass die Bande im Niedergang begriffen sei, andere bleiben jedoch wachsam: Das Ökosystem der Ransomware ist äußerst anpassungsfähig und neue Gruppen wie SuperBlack scheinen bereits bereit zu sein, den Staffelstab zu übernehmen.

Lehren für die Verteidigung

Experten für Cybersicherheit ziehen aus diesem Leck mehrere operative Lehren:

  • Patching priorisieren : Dutzende kritische CVEs wurden in den letzten Jahren von LockBit ausgenutzt, darunter CVE-2023-4966 (Citrix), CVE-2022-22965 (VMware), CVE-2021-44228 (Log4j). Ihre schnelle Behebung ist von entscheidender Bedeutung.
  • Vergessene Systeme schützen : Backup-Lösungen(wie Veeam), VMware ESXi Hypervisoren, NAS und Verwaltungstools (FileZilla, WinSCP) gehören mittlerweile zu den beliebtesten Zielen von Cyberkriminellen.
  • Auf Datenlecks achten: Der Zeitraum zwischen Exfiltration und Verschlüsselung bietet ein kritisches Zeitfenster, um einzugreifen, bevor ein irreversibler Schaden entsteht.

Fazit: Ein Warnsignal für alle, die sich mit Cybersicherheit beschäftigen.

Die Kompromittierung von LockBit verdeutlicht, wie selbst die bestorganisierten kriminellen Strukturen von ihren eigenen Lücken in der Cybersicherheit betroffen sein können. Sie erinnert auch daran, wie wichtig internationale Zusammenarbeit, forensische Ermittlungen und offensive Forschung sind, um der anhaltenden Bedrohung durch Ransomware zu begegnen.

Für Unternehmen sollte dieses Fallbeispiel als Katalysator dienen: Sie müssen unbedingt ihre Verteidigungshaltung verstärken, die von Cyberkriminellen ausgenutzten Einfallstore antizipieren und verstehen, dass die Bedrohung niemals schläft – selbst wenn sie zu wanken scheint.

Im Falle eines Vorfalls steht Ihnen unser Ransomware-Datenrettungsdienst rund um die Uhr zur Verfügung.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It