Quelle: Cisco Schweiz
ADVERTORIAL
Ungewöhnliche Einblicke in LockBit
LockBit gehackt: Was wir aus 4000 Chats mit Ransomeware-Opfern lernen können.
Von Matthias Wick, CTO Cisco Schweiz
23. Juli 2025
Der jüngste Daten-Leak rund um die Ransomware-Gruppe LockBit gibt seltene Einblicke in das Vorgehen der Hacker. Mehr als 4000 Chat-Nachrichten zwischen den Hackern und ihren über 200 Opfern zeigen, wie verhandelt, gedroht – und manchmal sogar um Hilfe gebeten wird. Die Informationen ermöglichen einen seltenen, ungefilterten Einblick in die Geschäftstätigkeit der Hacker – und die Reaktionen ihrer Opfer.
Neben fast 60.000 Bitcoin-Adressen sowie Zugangsdaten von 75 Administratoren und Partnern, alle mit Klartext-Passwörtern, erscheint auch eine Chat-Tabelle. Sie enthält 4.423 Nachrichten, verteilt auf 208 Opfer, aus der Zeit von Dezember 2024 bis April 2025. Manchmal gibt es nur eine unbeantwortete Nachricht, in anderen Fällen über 300 Anfragen für «technischen Support» bei nicht wiederherstellbaren Dateien und sogar die Bitte um Rückerstattung an die Ransomware-Betreiber.
Neben fast 60.000 Bitcoin-Adressen sowie Zugangsdaten von 75 Administratoren und Partnern, alle mit Klartext-Passwörtern, erscheint auch eine Chat-Tabelle. Sie enthält 4.423 Nachrichten, verteilt auf 208 Opfer, aus der Zeit von Dezember 2024 bis April 2025. Manchmal gibt es nur eine unbeantwortete Nachricht, in anderen Fällen über 300 Anfragen für «technischen Support» bei nicht wiederherstellbaren Dateien und sogar die Bitte um Rückerstattung an die Ransomware-Betreiber.
Sehr unterschiedliche Lösegeldforderungen
Die Lösegeldforderungen variieren sehr stark und reichen von wenigen Tausend bis hin zu zwei Millionen Dollar.Ein Fall dreht sich um die Verschlüsselung bei einem Hosting-Unternehmen, dessen Kunden letztlich die Konsequenzen tragen mussten. Gemäss dem Chat hatte LockBit alle Daten mit demselben Schlüssel verschlüsselt. Obwohl nicht alle Opfer das Lösegeld zahlen konnten oder wollten, bestanden die Bedrohungsakteure gegenüber dem Hoster auf den vollen Betrag. Dies erschwerte es, das geforderte Lösegeld einzutreiben – dem Hoster wohlgemerkt. Denn dieser agierte als Vermittler zwischen den Opfern und den Erpressern. Die Hacker waren sich ihrer Sache sicher und liessen sich nicht erweichen, einzelne Kundendaten preiszugeben.
Zusätzlich werden die Opfer oft durch knappe Fristen unter Druck gesetzt, besonders in Europa durch hier gültige Feiertage wie Karfreitag, Ostermontag und 1. Mai. Häufig erhöht sich die Lösegeldforderung nach Ablauf einer Frist. Manche Opfer bitten um mehr Zeit, um kleinere Beträge zusammenzutragen und so einer Entdeckung durch die lokalen Behörden und dem Geldwäschegesetz zu entgehen.
Besonders interessant: In einem Chat behauptet ein Opfer, das Lösegeld von 100.000 US-Dollar nicht bezahlen zu können. Die Antwortet der Hacker lautet: «Sieben Direktoren mit einem Einkommen von jeweils 14.000 Dollar können nicht helfen?» Das zeigt klar, dass LockBit das Ziel vorher gut analysiert hat, in den Chats wird von einem eigenen «Analytics Department» gesprochen.
Der Hacker als «Helfer»
Manche Opfer bitten sogar die Cyberkriminellen um Hilfe. Zudem verwundert es, wie schnell und häufig sich das Stockholm-Syndrom entwickelt und die Opfer sich mit den Verbrechern solidarisieren. So lästern sie über Kollegen in diesen Chats oder verraten den Angreifern geheime Sicherheitsinformationen, etwa dass sie noch ein Backup der Software X auf Host Y haben. Dieses wird umgehend per Cyberangriff auf das Netzwerk gekapert, sodass sich die Lösegeldzahlung damit nicht mehr umgehen lässt.Technische Hilfe bieten die Cyberkriminellen zum Teil gegen eine zusätzliche Gebühr von 10.000-Dollar an. Doch dafür erhalten die Opfer nur allgemeine Tipps zu Passwörtern oder Antivirensoftware.
Totgesagte leben länger
Trotz der (mehrfachen) versuchten Zerschlagung in 2024 war LockBit in jenem Jahr zum dritten Mal in Folge die aktivste Ransomware-as-a-Service (RaaS)-Gruppe, wenn man den Umfang der Beiträge zu Data Leak Sites als Massstab nimmt. Platz 2 belegte die damals neue Gruppe RansomHub,Beim Rückblick auf das vergangene Jahr fällt auch auf, dass vor allem Identitäten über gestohlene Anmeldedaten, Sitzungs-IDs, API-Schlüssel, digitale Zertifikate und weitere Techniken angegriffen wurden. Ransomware-Akteure nutzten in fast 70 Prozent der Fälle gültige Konten für den Erstzugriff. Diese Taktik wird dadurch erleichtert, dass gestohlene Zugangsdaten in Dark-Web-Foren verkauft werden.
Ransomware-Akteure nutzten in fast 20 Prozent der Fälle Schwachstellen in öffentlich zugänglichen Anwendungen aus. Dazu gehören Shopping-Plattformen, Anmeldeseiten, soziale Medien, Online-Banking-Systeme, E-Mail-Server oder Service-Portale, die Schwachstellen oder Fehlkonfigurationen aufweisen. Zudem können sie bei etwa der Hälfte ihrer fortgeschrittenen Angriffe Sicherheitslösungen aushebeln, die nicht genug gehärtet sind. Künftig wird die Gefahr laut Cisco Talos Year in Review Report durch Künstliche Intelligenz (KI) deutlich steigen. Vor allem, um bestehende Taktiken zu verbessern, aber auch um neue zu entwickeln, nutzten Bedrohungsakteure laut Cisco Talos 2024 KI zu Infiltration von Infrastruktur.
(Quelle: Cisco Schweiz)
Die wichtigsten Sicherheitsmassnahmen sind daher:
• Best Practices wie Netzwerksegmentierung, strenge Zugangskontrollen und regelmässige Mitarbeiterschulungen umsetzen
• Updates und Patches so schnell wie möglich aufspielen
• Robuste Authentifizierungsmethoden wie Mulitfaktor-Authentifizierung (MFA) und komplexe Passwörter durchsetzen
• Sämtlichen Datenverkehr für Monitoring und Konfiguration verschlüsseln
• Alle Massnahmen auch für die Netzwerkinfrastruktur implementieren
Dies wird zwar nicht sämtliche Angriffe abwehren, aber zumindest einen guten Grundschutz bieten. Detaillierte und individuell angepasste Schutzmassnahmen können bewährte Spezialisten-Teams wie Talos Incident Response entwickeln.
• Best Practices wie Netzwerksegmentierung, strenge Zugangskontrollen und regelmässige Mitarbeiterschulungen umsetzen
• Updates und Patches so schnell wie möglich aufspielen
• Robuste Authentifizierungsmethoden wie Mulitfaktor-Authentifizierung (MFA) und komplexe Passwörter durchsetzen
• Sämtlichen Datenverkehr für Monitoring und Konfiguration verschlüsseln
• Alle Massnahmen auch für die Netzwerkinfrastruktur implementieren
Dies wird zwar nicht sämtliche Angriffe abwehren, aber zumindest einen guten Grundschutz bieten. Detaillierte und individuell angepasste Schutzmassnahmen können bewährte Spezialisten-Teams wie Talos Incident Response entwickeln.
