Foto: Maksim Shmeljov/Shutterstock
LockBit ist eine der gefürchtetsten Ransomware-Banden der Welt. Nun bekommt sie die eigene Medizin zu spüren durch einen Cyberangriff. Für einmal sind die Rollen vertauscht: Die Cyberkriminellen wurden von anderen Hackern gehackt.
Die Kriminellen haben es mit Ransomware zu tun. Dies ist eine Form von Malware, bei der Angreifer die Dateien eines Unternehmens oder einer Organisation unzugänglich machen. Wer wieder Zugriff haben möchte, muss Lösegeld zahlen, oft in Form von Kryptowährungen wie Bitcoin (BTC) oder Monero (XMR). Dadurch ist das gezahlte Geld oft schwer zu verfolgen.
Nach der Zahlung geben die Hacker, wenn alles gut geht, den Entschlüsselungsschlüssel zurück, um Zugriff auf die Dateien zu erhalten.
Überraschende Nachricht
Zugang zum Darkweb zu erhalten ist schwierig, aber wer es schafft, sah auf der Website von LockBit plötzlich eine überraschende Nachricht:
From encrypting others to encrypting their pride
LockBit got locked hard pic.twitter.com/QQpIaXyFpF— H4x0r.DZ (@h4x0r_dz) May 8, 2025
Mit diesen Worten wurden die Mitglieder der Ransomware-Gruppe in ihrem eigenen Administrationsbereich willkommen geheißen. Unter der Nachricht stand ein Link zu einer Zip-Datei mit einer gigantischen Menge an geleakten Daten.
Laut einem Post des Cybersecurity-Forschers ReyXBF auf X (früher Twitter), wurde LockBit „pwnd“. Dies ist ein angesagtes Wort für ‚gehackt‘. Und es handelte sich keineswegs um einen kleinen Angriff, denn es wurde eine komplette MySQL-Datenbank von LockBit erbeutet. Anschließend erschienen alle Daten online.
Die Daten enthalten etwa 60.000 Bitcoin-Walletadressen, die mit der LockBit-Infrastruktur verknüpft sind. Auch interne Gespräche mit Opfern und eine Liste mit potenziellen Zielen wurden öffentlich.
Wie gingen die Hacker vor?
Die Hacker der Hacker schafften dies, indem sie die Website der Gruppe im Darkweb infiltrierten. Sie konnten dadurch einen MySQL Database Dump (Inhalt der Datenbank) öffentlich im Internet teilen.
Dieser Dump enthält Informationen bezüglich Krypto, die Blockchain-Analytiker nutzen können, um die illegalen Finanzströme der Gruppe zu verfolgen.
Der Angriff ist ein herber Schlag für LockBit. Durch das Leaken der Datenbank sind Blockchain-Analysten in der Lage, die Adressen zu analysieren. Auch können sie auf Basis der Informationen Finanzströme zurückverfolgen. Dies macht es für Ermittlungsbehörden viel einfacher, gezahlte Lösegelder mit spezifischen Wallets und Transaktionen zu verknüpfen.
Der Täter oder die Täter dieses Angriffs sind bislang unbekannt, aber die Nachricht aus Prag lässt vermuten, dass idealistische Motive dahinterstecken. Jemand wollte LockBit eine Lektion erteilen, und diese Botschaft ist laut und deutlich angekommen
Was ist LockBit?
LockBit ist eine professionelle Ransomware-Bande, die seit Jahren weltweit Unternehmen und Regierungsinstitutionen trifft. Ihre Taktik ist das Verschlüsseln von Computersystemen. Anschließend fordern die Kriminellen Millionen Euro an Lösegeld. Die Zahlungen finden fast immer mit Kryptowährungen wie Bitcoin (BTC) oder Monero (XMR) statt. Diese Transaktionen verlaufen unglaublich schnell und sind schwer zu verfolgen.
Im Februar 2024 wurden zehn Länder aktiv gegen LockBit. Der Gruppe wurde vorgeworfen, Milliarden Euro an Schäden verursacht und kritische Infrastruktur wie Krankenhäuser und Energieunternehmen beschädigt zu haben.
Lakonische Reaktion eines Mitarbeiters
Auf X postete ReyXBF Screenshots einer Konversation mit einem LockBit-Mitarbeiter. Der Hacker war auffallend gelassen über das Datenleck.
Es sind keine privaten Schlüssel geleakt worden, also ist wenig passiert.“
Dennoch ist dieser Angriff eine seltene und schmerzhafte Niederlage für eine Gruppe, die normalerweise selbst die Fäden in der Hand hat. Möglicherweise trifft dieser Angriff auch andere Kriminelle. LockBit hat möglicherweise Verbindungen zur Everest-Ransomware. Dies ist ein anderer Akteur in der Cybercrime-Industrie.
Durch das Leaken der Adressen können Forscher vielleicht auch dort Verbindungen herstellen und weitere Netzwerke aufdecken. So ist es einfacher, Lösegeld-Zahlungen mit bekannten Wallets zu verknüpfen.
