[English]Eigentlich sollte die LockBit-Infrastruktur ja mit der Operation Cronos zerschlagen sein. Trend Micro schlägt jetzt Alarm, denn man ist auf eine neue Variante LockBit 5.0 gestoßen. Die Malware greift Systeme mit Linux, Windows sowie VMware ESXi-Instanzen an.
Rückblick auf LockBit
Lockbit ist eine russischsprachige Gruppe, welche Ransomware-as-a-Service ( RaaS) betreibt. Bei diesem-Modell wird die Ransomware und die Infrastruktur anderen Cyberkriminellen, den sogenannten Affiliates, zur Verfügung gestellt, die dann die Angriffe durchführen. Dadurch kann LockBit seine Operationen skalieren und eine größere Anzahl von Opfern erreichen. LockBit wendet auch die Technik der doppelten Erpressung an, indem es gestohlene Daten auf seinem Blog veröffentlicht, wenn das Lösegeld nicht gezahlt wird.
Die Gruppe wurde erstmals im Jahr 2019 durch eine Schadsoftware namens ABCD bekannt. Seit dem Jahr 2020 gibt es die Ransomware Lockbit, mit der auch ein Affiliate-Programm besteht. Inzwischen schreiben Sicherheitsforscher von Lockbit 2.0, Lockbit 3.0, um die einzelnen Versionen der Ransomware zu bezeichnen.
Die Gruppe wird für zahlreiche Cybervorfälle verantwortlich gemacht (der verlinkte Wikipedia-Artikel nennt Opfer, und hier im Blog gibt es ebenfalls zahlreiche Beiträge zu Opfern der Gruppe). Einzelne Mitglieder der Gruppe wurden bereits (in Abwesenheit) von der US-Justiz angeklagt. Auf den russischen Hacker Michail Pawlowitsch Matweew ist ein Kopfgeld von 10 Millionen US-Dollar ausgesetzt.
Im Februar 2024 wurde dann bekannt, dass Strafverfolger rund um das US FBI die Infrastruktur der LockBit-Gruppe zerschlagen hätten (siehe Operation Cronos: FBI & Co. beschlagnahmen Infrastruktur der Lockbit-Ransomware-Gang). Eigentlich sollten die damit aus dem Geschäft sein.
Aber ich hatte bereits erwähnt, dass die Gruppe danach drei ihrer Darknet-Seiten wieder eröffnete. Die Gruppe arbeitete daran, die Infrastruktur wieder in Betrieb zu nehmen. Weiterhin wurde im Mai 2025 bekannt, dass die Onion-Webseite der LockBit-Gruppe gehackt worden ist (siehe Die LockBit-Onion-Website wurde gehackt). Das war die Webseite, über die die LockBit-Gruppe Verhandlungen mit ihren Opfer führten. Der Hacker hat angeblich die Datenbank abgezogen und geleakt. Die Datenbank enthielt Bitcoin-Wallet-Adressen, private Schlüssel, Chat-Protokolle der Grupps sowie Informationen über ihre Partner.
LockBit 5.0 zurück und zielt auf Linux, Windows, ESXi
Nun schlägt Trend Micro Alarm, denn es gibt eine neue Ransomware-Variante LockBit 5.0. Diese ist Alarm laut Trend Micro deutlich gefährlicher ist als frühere Versionen. Denn die neue Variante kann nun gleichzeitig Windows-, Linux- und VMware ESXi-Umgebungen angreifen. Im Artikel vom 25. September 2025 haben sie die neuesten Erkenntnisse zu LockBit 5.0 veröffentlicht. Hier die Kernpunkte:
- Die Windows-Variante von LockBit 5.0 nutzt starke Verschleierung (Obfuscation) und, indem sie ihre Nutzlast über DLL-Reflexion lädt und gleichzeitig Anti-Analyse-Techniken implementiert.
- Die Linux-Variante verfügt über ähnliche Funktionen mit Befehlszeilenoptionen für bestimmte Verzeichnisse und Dateitypen.
- Die ESXi-Variante zielt speziell auf die Virtualisierungsinfrastruktur von VMware ab und wurde entwickelt, um virtuelle Maschinen zu verschlüsseln.
- Die neuen Varianten verwenden zufällige 16-stellige Dateierweiterungen, verfügen über eine Umgehung des russischen Sprachsystems und löschen nach der Verschlüsselung die Ereignisprotokolle.
- LockBit 5.0 verfügt auch über eine spezielle ESXi-Variante, die auf die ESXi-Virtualisierungsinfrastruktur von VMware abzielt.
Die Existenz von Windows-, Linux- und ESXi-Varianten bestätigt die fortgesetzte plattformübergreifende Strategie von LockBit, die gleichzeitige Angriffe auf gesamte Unternehmensnetzwerke einschließlich virtualisierter Umgebungen ermöglicht. Durch die starke Verschleierung (Obfuscation) und technische Verbesserungen bei allen Varianten ist LockBit 5.0 deutlich gefährlicher als seine Vorgänger. Trend Micro gibt in seinem Artikel weitere Details bekannt und listet auch die spezifischen Indicators of Compromise (IoCs) einer Infektion auf. The Register hat es hier aufgegriffen.
Ähnliche Artikel:
Ein Kopf (Administrator) der LockBit-Gruppe enttarnt?
LockBit Ransomware-Gruppe zurück? Und neue Erkenntnisse
FBI stellt 7.000 LockBit-Schlüssel wieder her; Ransomware-Opfer sollen sich melden
LockBit 3.0 zurück? Gruppe reklamiert Angriff auf die Deutsche Telekom; Neue Beschlagnahmung
MVP: 2013 – 2016
*********************************************
Im Februar 2024 wurde dann bekannt, dass Strafverfolger rund um das US FBI die Infrastruktur der LockBit-Gruppe zerschlagen hätten (siehe Operation Cronos: FBI & Co. beschlagnahmen Infrastruktur der Lockbit-Ransomware-Gang). Eigentlich sollten die damit aus dem Geschäft sein.
*********************************************
Tja wenn man nur die Infrastruktur zerschlägt und selbst da nicht alles… ist es halt nur ne Frage der Zeit bis die wieder da sind, da da auch von Verbindungen zur russischen Diensten gemunkelt wird sowieso… Ressourcen im Überfluss
Weiss jemand was aus Dmitry Khoroshev geworden ist?
Muss uns dies interessieren?
Über ein Jahr nach seiner Festnahme finde ich schon, dass das eine berechtigte Frage ist. Ist er abgeurteilt? Hat der Prozess interessante Details hervorgebracht?
Finde ich jetzt nicht so abwägig bei einem Artikel zu LockBit dazu mal nachzufragen.
Ist er wirklich verhaftet?
13.03.2025:
The U.S. Department of State's Transnational Organized Crime (TOC) Rewards Program is offering rewards of up to $10 million for information leading to the arrest and/or conviction in any country of Khoroshev.
https://www.justice.gov/usao-nj/pr/dual-russian-and-israeli-national-extradited-united-states-his-role-lockbit-ransomware
Keine Ahnung ob er verhaftet wurde aber auf keinen Fall werden die den einfach ignoriert haben. (Und nachdem alle Welt weiss das er auf nem Haufen Krypto Cash sitzt wird sich auch so manch Krimineller für den interessieren.)
Oha, danke für den Link. Das steht ja mal komplett konträr zu dem, was ich selbst dazu bisher gelesen hatte.
Das ist bei den meisten Themen in diesen Tagen leider so, es wird irgendwas verbreitet und wenn man genauer recherchiert, findet man oft gänzlich andere Aspekte oder auch gegenteilige Faktenlagen. Das "News" Geschäft basiert auf schnellen Clicks, da interessieren Hintergründe meist nicht.
Eine Ausnahme ist oftmals das Blog hier, Herr Born versucht bei vielen Dingen, die Themen tiefer anzugreifen, mutmasslich wenn dafür breiteres Interesse in der Zielgruppe vorhanden ist. So kommen nur im Einzelfall unhinterfrage Themen durch.
Befriedigt vielleicht die persönliche Neugier, hilft dir aber nicht in Bezug auf LockBit 5.0 und die drohenden Gefahren weiter. Oder ist ist jemand aus dem Namen in der Lage, Indicators of Compromise abzuleiten? Die Frage hätte unter den alten Lockbit-Artikeln, wo die Person erwähnt wurde, Sinn gemacht – aber in obigem Text wurde Khoroshev nicht erwähnt – oder?
Für die ganz Neugierigen: Mein aktueller Wissensstand ist, dass Khoroshev bisher nur durch die USA "sanktioniert" wurde – aber bisher nicht verhaftet werden konnte. Laut dieser Meldung wurde ein weiteres LockBit-Mitglied im März 2025 festgenommen und an die USA ausgeliefert. Hat aber mit obigem Kontext nichts zu tun – imho.
Persönliche Neugier ist der Grund, warum ich hier überhaupt fast jeden Tag vorbeikomme und ihre Artikel lese.
Der Prozess um seine Person könnte Informationen dazu liefern wie die Organisation von solchen Gruppen im Detail funktioniert. Das ist etwas, was mich interessiert und daher verstehe ich durchaus, warum Sebastian diese Frage gestellt hat.
Zu "Indicators of Compromise": Ist ein Punkt, der einem vielleicht konkret hilft, aber wenn man es auf einer höheren Metaebene sieht und da bin ich nach 20 Jahre Tätigkeit in dieser Branche, dann ist das eigentlich nur eine Beschreibung eines Problems, was in x fachen Iterationen Dauerthema ist, denn das Kernproblem ist und war schon immer: Für wirklich gut entwickelte Software (mit Blick auf deren Sicherheit) kriegst du keinen Extrabonus, am Ende entscheidet was der Vertrieb verkaufen kann und da reichen ein paar Buzzwords, auch gerne von vermeintlichen Sicherheitsfeatures.
Daher: Ja, ich verstehe ihren Punkt, aber die Orga solcher Gruppen finde ich für mich persönlich tatsächlich spannender, weil es mir neue Informationen liefern könnte, die ich bis dahin noch nicht hatte.
Ich bin ja nun nicht so gut, das ich schon vom Prozess berichten kann, der imho noch nicht stattgefunden hat – beachte meine Ergänzung im Vorpost – der Mann ist noch nicht dingfest gemacht worden.
@Günter: Die Auslieferung in Deinem Link betrifft aber IMHO einen anderen:
"In August, Rostislav Panev, 51, was arrested in Israel pursuant to a U.S. provisional arrest request. Today, Panev was extradited to the United States"
Du hast Recht – da hat mich die Suche heute am frühen Morgen in den Wald geführt und ich habe den Baum nicht erkannt, war noch zu dunkel. Aber jetzt haben wir einen schön nebenläufigen Thread, der mit dem originären Thema des Artikels nichts zu tun hat – und zweckdienliche Informationen zur initialen Frage gibt es bisher auch nicht. Genau das, was ich eigentlich in den Kommentaren vermeiden möchte.
Vielleicht war auch der Erfolg, also die Zerschlagung, ein geplanter Schritt um Zeit zu gewinnen? Also ich würde es so machen. :D Lieber mal einen vermeintlichen Erfolg für die Gegenseite inizieren, um weiterhin agieren zu können.