LockBit-Ransomware – Die gefährlichste Cyberbedrohung der letzten Jahre

Die Hackergruppe LockBit zählt zu den berüchtigsten Ransomware-Gruppen der letzten Jahre. Seit ihrer Entstehung im Jahr 2019 hat sie hunderte Organisationen weltweit angegriffen, mehrere Milliarden Dollar an Gesamtschaden verursacht und Sicherheitsbehörden auf den Plan gerufen. Trotz wiederholter Strafverfolgung blieb sie bis 2024 eine der aktivsten und technologisch fortgeschrittensten Gruppen ihrer Art.

LockBit wurde erstmals 2019 identifiziert und entwickelte sich rasch zu einer global agierenden Cybercrime-Gruppe. Sie operierte nach dem Modell des Ransomware-as-a-Service (RaaS), bei dem die eigentliche Schadsoftware von einem Kernteam entwickelt und gegen Provision von sogenannten “Affiliates” eingesetzt wurde. Diese führten eigenständig Angriffe aus und beteiligten die Betreiber an den Erpressungserlösen.

Diese Struktur machte LockBit extrem skalierbar, schwer kontrollierbar und international gefährlich.

LockBit war bekannt für seine Schnelligkeit, Effizienz und technische Raffinesse. Zu den genutzten Methoden zählten:

• Phishing-Kampagnen mit infizierten Anhängen oder gefälschten Webseiten
• Zugang über RDP mit gestohlenen oder schwachen Passwörtern
• Ausnutzen bekannter Sicherheitslücken (z. B. in VPNs, Citrix, Exchange)

Nach dem Eindringen verschaffte sich die Gruppe administrative Rechte, deaktivierte Sicherheitssoftware und bereitete die Verschlüsselung der Daten systematisch vor.

Zusätzlich wurden sensible Daten exfiltriert und bei Nichtzahlung des Lösegelds mit Veröffentlichung im Darknet gedroht – eine Taktik, bekannt als Doppelte Erpressung.

LockBit entwickelte ein eigenes, hochmodernes Erpressungsportal im Darknet. Opfer erhielten Zugangscodes und konnten dort “verhandeln” oder Anleitungen für Zahlungen in Kryptowährung erhalten. Die Kommunikation war erschreckend professionell.

Typisch war auch die Verwendung individueller Dateiendungen wie .lockbit, .abcd, .lockbit2, je nach Version der eingesetzten Malware.

Die Liste der Opfer liest sich wie ein Who’s Who der Industrie und Verwaltung:

• Accenture (2021): 6 TB Daten entwendet, 50 Mio. USD Lösegeldforderung
• Foxconn (2022): Angriffe auf mexikanische Produktionswerke
• Continental (2022): 40 TB Daten gestohlen, 40 Mio. USD Forderung
• Finanz- und Gesundheitsinstitute, Kommunen, Universitäten u.v.m.

Laut FBI hat LockBit allein über 120 Mio. USD an Lösegeldzahlungen erhalten.

Im Februar 2024 gelang es einer internationalen Allianz von Ermittlungsbehörden (u.a. FBI, NCA, Europol), die Infrastruktur von LockBit im Rahmen der Operation Cronos zu infiltrieren und zu zerschlagen:

• Darknet-Seiten wurden beschlagnahmt und mit Warnhinweisen versehen
• Entschlüsselungstools für Opfer wurden bereitgestellt
• Mehrere Mitglieder der Gruppe wurden festgenommen oder angeklagt
• Der mutmaßliche Hauptakteur Dmitry Khoroshev wurde identifiziert und sanktioniert

Den Ermittlern gelang es zudem, hunderte private Chats, Zahlungsnachweise und technische Details über die Struktur der Gruppe zu sichern.

Trotz der Zerschlagung von LockBit ist die Gefahr nicht gebannt. Die technischen Mittel, Tools und Strukturen kursieren weiterhin in kriminellen Kreisen. Andere Gruppen nutzen ähnliche oder abgewandelte Methoden.

Prävention bleibt der wichtigste Schutz:

• Backups offline und regelmäßig testen
• Multi-Faktor-Authentifizierung
• Systeme und Software aktuell halten
• Mitarbeiterschulungen gegen Phishing
• Notfallpläne und professionelle Partner bereithalten

Kaum eine andere Gruppe hat das Bewusstsein für die Bedrohung durch Ransomware so sehr geschärft wie LockBit. Ihr Erfolg beruhte auf Technik, Taktik und der systematischen Ausnutzung menschlicher und organisatorischer Schwächen.

Unsere Mission: Wenn der Ernstfall eintritt, stehen wir bereit – mit Forensik, Datenrettung und der unserer Erfahrung.

Daten zurück. Klarheit schaffen. Sicherheit wiederherstellen.

Professionelle Hilfe für den Ernstfall – rund um die Uhr.