LockBit gehackt: Der Fall des einst mächtigsten Ransomware-Syndikats

12. Mai 2025

Ein bemerkenswerter Machtwechsel in der Welt der Cyberkriminalität: Die berüchtigte Ransomware-Gruppe LockBit, lange Zeit als eine der gefährlichsten und aktivsten ihrer Art gefürchtet, wurde selbst Ziel eines Angriffs. Am 7. Mai 2025 tauchte auf den Darknet-Verwaltungsseiten der Gruppe eine sarkastische Nachricht auf – „Don’t do crime, crime is bad xoxo from Prague“ –, begleitet von einem Link zu einer durchgesickerten Datenbank.

Die Veröffentlichung legte interne Strukturen, Taktiken und Geschäftsmodelle eines Netzwerks offen, das zeitweise für bis zu 44 Prozent aller weltweiten Ransomware-Angriffe verantwortlich war. Der Vorfall markiert nicht nur eine Demütigung für LockBit, sondern könnte auch ein Wendepunkt in der globalen Cyberabwehr gegen organisierte Erpressungssoftware sein.

Was aufgedeckt wurde:

• Interne Chat-Protokolle zwischen LockBit-Partnern und ihren Opfern, die Verhandlungstaktiken und den psychologischen Druck auf Unternehmen offenlegen – manchmal für nur wenige tausend Dollar, manchmal für sechsstellige Summen.
• Fast 60.000 Bitcoin-Wallet-Adressen, potenziell eine Goldgrube für Strafverfolgungsbehörden, die Lösegeldzahlungen zurückverfolgen wollen.
• Zugangsdaten von Partnern und Administratoren – teilweise in peinlich einfachen Klartext-Passwörtern gespeichert – die die operative Grundlage des Ransomware-as-a-Service-Modells (RaaS) von LockBit offenlegen.
• Maßgeschneiderte Ransomware-Versionen, Opferprofile und Details zu Payloads und Infrastruktur.

Was steht für die Cyberwelt auf dem Spiel?

Jahrelang agierte LockBit nahezu ungestraft, entwickelte seine Malware weiter, rekrutierte Partner und dehnte seine Reichweite über Branchen und Kontinente hinweg aus. Sein RaaS-Modell senkte die Einstiegshürden für Cyberkriminalität und ermöglichte es einem globalen Netzwerk von Angreifern, Krankenhäuser, Schulen und Unternehmen zu erpressen.

Nun droht die Aufdeckung der Identitäten der Partner und der Verhandlungsunterlagen dieses Netzwerk zu ruinieren. Vertrauen und Geheimhaltung sind die Währung der Cyberkriminalität, aber dieser Verstoß hat beides entwertet. Partner werden es sich vielleicht zweimal überlegen, bevor sie sich mit einem Syndikat zusammentun, dessen eigene Sicherheit so lückenhaft ist.

Weitreichende Auswirkungen

Dieser Vorfall könnte für Verteidiger und Strafverfolgungsbehörden eine entscheidende Wende bedeuten.

Die geleakten Bitcoin-Wallets und Chat-Protokolle? Das sind digitale Brotkrumen, die nur darauf warten, von Ermittlern aufgesammelt zu werden, die hinter den dubiosen Pseudonymen nach den wahren Identitäten suchen. Plötzlich sind die Menschen, die sich einst hinter mehreren Verschlüsselungsebenen und Anonymität versteckt haben, entlarvt und ihre Betriebsgeheimnisse für alle sichtbar.

Für Unternehmen und Organisationen ist dieser Vorfall eine seltene Gelegenheit. Jetzt können sie die Daten durchforsten und sehen, ob ihre eigenen Verhandlungen oder sensible Details in die Schusslinie geraten sind – vielleicht erfahren sie sogar, wie ihre Angreifer denken, verhandeln und drohen.

Aber die eigentliche Geschichte ist, was dies für den Ruf von LockBit bedeutet. Letztes Jahr brachte die Operation Cronos die Gruppe aus dem Gleichgewicht, indem sie Server beschlagnahmte und Entschlüsselungscodes veröffentlichte. LockBit schüttelte dies ab, flickte die Lücken und machte weiter. Diesmal ist der Schlag persönlich. Die Mystik der Bande – ihre Aura der Unbesiegbarkeit – ist zerstört. In der Untergrundwirtschaft der Ransomware ist Vertrauen alles. Partner könnten sich nach sichereren, intelligenteren Partnern umsehen. Neue Rekruten könnten es sich zweimal überlegen.

Wir haben diesen Film schon einmal gesehen. Als die internen Chats von Conti durchgesickert sind, ist die Gruppe implodiert. Als die Geheimnisse von REvil bekannt wurden, ist ihr Imperium zusammengebrochen. Der Hackerangriff auf LockBit könnte der nächste Dominostein sein.

Unbeantwortete Fragen

LockBit selbst spielt in einer Erklärung die Auswirkungen herunter, betont, dass keine Entschlüsselungscodes oder sensible Daten der Opfer verloren gegangen seien, und verspricht eine schnelle Rückkehr zum Normalbetrieb. Die harte Rhetorik der Gruppe hat jedoch wenig Gewicht, wenn ihre eigenen Mitglieder aufgrund schwacher Passwörter und unzureichender Systemschutzmaßnahmen bloßgestellt werden.

Die Identität des Hackers bleibt ein Rätsel. Die Signatur „Prag“ erinnert an einen kürzlichen Angriff auf die Ransomware-Bande Everest, was Spekulationen über interne Machtkämpfe oder Selbstjustiz innerhalb der Cyberkriminellen-Szene anheizt. Ist dies das Werk eines Konkurrenten, eines verärgerten Insiders oder eines White-Hat-Hackers, der das Geschäftsmodell von Ransomware destabilisieren will?

Wie geht es weiter?

LockBit hat Strafverfolgungsmaßnahmen, Abschaltungen und öffentliche Entlarvungen überstanden. Aber dieser Vorfall ist anders – er trifft das Vertrauensmodell der Gruppe ins Mark und offenbart die menschlichen Schwächen hinter dem Code. Für die Cybersicherheits-Community ist dies ein seltener Einblick in die Mechanismen eines kriminellen Syndikats.

Für LockBit ist es eine Reputationskrise, von der es sich möglicherweise schwerer erholen wird als von jedem technischen Rückschlag. Verstöße wie dieser könnten zukünftige Partner davon abhalten, sich der Gruppe anzuschließen, aus Angst, entlarvt oder verhaftet zu werden.

Die Lektion ist klar: In der Cyberkriminalität ist niemand unantastbar. Und manchmal ist der beste Weg, Ransomware zu bekämpfen, ihre eigenen Werkzeuge – und ihre eigene Hybris – gegen sie zu richten.

Jurgita Lapienytė ist Chefredakteurin bei Cybernews, wo sie ein Team von Journalisten und Sicherheitsexperten leitet, das sich der Aufdeckung von Cyberbedrohungen durch Forschung, Tests und datengestützte Berichterstattung widmet. In ihrer über 15-jährigen Karriere hat sie über wichtige globale Ereignisse berichtet, darunter die Finanzkrise 2008 und die Terroranschläge von Paris 2015, und durch investigativen Journalismus für mehr Transparenz gesorgt. Als leidenschaftliche Verfechterin des Bewusstseins für Cybersicherheit und von Frauen in der Tech-Branche hat Jurgita führende Persönlichkeiten aus dem Bereich Cybersicherheit interviewt und gibt unterrepräsentierten Stimmen in der Branche eine Plattform.