Ransomware

Qualys Threat Research Unit beschreibt Methoden der Ransomware Gruppe LockBit

, Qualys

Qualys Threat Research Unit beschreibt Methoden der Ransomware Gruppe LockBit

LockBit-Leak legt Ransomware-Taktiken offen: Was Sicherheitsteams jetzt wissen müssen

Von Saeed Abbasi, Manager Product – Threat Research Unit, Qualys

Die Ransomware-Gruppe LockBit hat kürzlich selbst einen schweren Sicherheitsvorfall erlitten: Ihre Partner-Panels im Dark Web wurden kompromittiert und mit der Nachricht „Don’t do crime – CRIME IS BAD xoxo from Prague“ versehen. Der Hinweis führte zu einem Leak einer SQL-Datenbank mit brisanten Inhalten. Enthalten sind unter anderem:

  • Eine Tabelle mit 59.975 eindeutigen Bitcoin-Adressen
  • Über 4.400 Chatverläufe aus Erpressungsverhandlungen mit Opfern (Dezember 2024 bis April 2025)

Diese Daten geben tiefe Einblicke in LockBits Strukturen, Methoden und Vorlieben – und ermöglichen Sicherheitsteams gezielte Gegenmaßnahmen.

Wer ist LockBit – und wie arbeitet die Gruppe?

LockBit gehört zu den aktivsten Ransomware-Gruppen der letzten Jahre. Seit 2019 betreiben sie ein „Ransomware-as-a-Service“-Modell (RaaS). Die Gruppe entwickelt die Schadsoftware, ihre Partner („Affiliates“) führen die Angriffe durch und teilen das erpresste Lösegeld. LockBit hat ihre Ransomware kontinuierlich weiterentwickelt:

  • LockBit 2.0 (Juni 2021)
  • LockBit 3.0 – auch bekannt als LockBit Black (Juni 2022)

Zielplattformen umfassen Windows, Linux, VMware ESXi und macOS. Angriffe folgen einem typischen Ablauf:

  1. Erster Zugriff (z. B. über Phishing, Exploits, schwache RDP-Zugänge)
  2. Laterale Bewegung im Netzwerk (z. B. mit Mimikatz, Cobalt Strike)
  3. Rechteausweitung
  4. Datenexfiltration (Double Extortion)
  5. Dateiverschlüsselung
  6. Lösegeldforderung
  7. Datenveröffentlichung bei Nichtzahlung

LockBit 3.0 kombiniert ausgeklügelte Techniken verschiedener Ransomware-Stämme, erschwert die Erkennung und sabotiert Wiederherstellungsversuche.

Bevorzugte Zahlungsweise: Monero mit Rabatt

Die geleakten Chatprotokolle zeigen: Lösegeldforderungen reichen von 4.000 bis 150.000 US-Dollar, meist in Bitcoin (BTC). Bemerkenswert: Opfer, die in Monero (XMR) zahlen, erhielten teils bis zu 20 % Rabatt. Diese Präferenz für Monero lässt auf eine bewusste Entscheidung zugunsten von Anonymität und Nachverfolgbarkeit schließen.

Kritische Schwachstellen: Diese CVEs nutzt LockBit

Die Analyse historischer und geleakter Informationen zeigt ein klares Muster bei der Ausnutzung von Schwachstellen. Hier eine Auswahl besonders häufig genutzter CVEs:

Kritischer CVEs, die von LockBit ausgenutzt werden Tabelle: Beispiele kritischer CVEs, die von LockBit ausgenutzt werden. Diese Liste ist nicht vollständig, enthält jedoch häufig ausgenutzte Schwachstellen. Unternehmen sollten sie sofort patchen oder geeignete Abhilfemaßnahmen einleiten.

Mehr als nur Endpunkte: Weitere Ziele der Angreifer

Die geleakten Daten zeigen, dass LockBit-Systeme ins Visier nimmt, die über klassische Server hinausgehen:

  • Backup-Software (z. B. Veeam): Schwachstellen wie CVE-2023-27532 oder CVE-2024-40711 ermöglichen Zugriff auf Backup-Metadaten und Anmeldedaten. Patching und Netzwerkisolierung sind essenziell.
  • VMware ESXi / vCenter: LockBit setzt speziell angepasste Payloads ein, um ganze Hypervisor-Hosts zu verschlüsseln. Kritische VMware-Schwachstellen (z. B. CVE-2021-21972) müssen gepatcht und der Zugriff abgesichert werden. Es muss sichergestellt werden, dass alle bekannten ausgenutzten Schwachstellen vollständig gepatcht sind (z. B. CVE-2021-44228, CVE-2024-38813, CVE-2024-38812, CVE-2022-22948, CVE-2023-34048, CVE-2021-22017, CVE-2021-22005, CVE -2020-3952, CVE-2021-21972, CVE-2021-21985, CVE-2021-21973, CVE-2019-5544, CVE-2025-22225, CVE-2024-37085, CVE-202 0-3992, CVE-2025-22224, CVE-2025-22226), die alle Teil des CISA KEV-Katalogs sind. Außerdem wäre die Durchsetzung einer Multi-Faktor-Authentifizierung (MFA) und des Prinzips der geringsten Berechtigungen für alle vCenter-Zugriffe äußerst hilfreich. 
  • NAS-Systeme: Unzureichend segmentierte Netzwerke oder freigegebene SMB/NFS-Volumes machen sie angreifbar.
  • Dateitransfer-Tools: Programme wie FileZilla oder WinSCP werden zur Übertragung von Entschlüsselungssoftware missbraucht – ein Hinweis auf die Kreativität der Angreifer.

Initialer Zugriff & Bereitstellung

Einige geleakte Nachrichten deuten auf typische Einstiegspunkte hin:

  • Schwache oder Standardpasswörter („P@ssw0rd“)
  • Fehlerhafte Rechtevergabe auf Domaincontrollern
  • Angepasste Payloads für unterschiedliche Plattformen (Windows, ESXi)

Dies zeigt die Notwendigkeit von plattformübergreifender Sicherheit und einer starken Zugriffskontrolle.

Fazit: Erkenntnisse aus dem LockBit-Leak nutzen

Die offengelegten Daten geben Sicherheitsexperten eine seltene Gelegenheit, direkt aus dem Inneren einer Ransomware-Operation zu lernen. Sie verdeutlichen, welche Maßnahmen jetzt höchste Priorität haben:

  • Bekannte CVEs priorisiert patchen
  • Backup- und Virtualisierungsinfrastruktur härten
  • Zugriffskontrollen und MFA durchsetzen
  • Systeme ganzheitlich überwachen – nicht nur klassische Endpunkte

Die Bedrohung durch LockBit und ähnliche Gruppen bleibt bestehen – doch mit den richtigen Informationen und Maßnahmen lässt sich die eigene Sicherheitslage erheblich verbessern.