24/7 Notfall Hotline

Der LockBit-Ransomware ist eine der berüchtigtsten Cyberbedrohungen unserer Zeit und hat sich zu einer der fortschrittlichsten und gefährlichsten Gruppen weltweit entwickelt. Mit einem Ransomware-as-a-Service (RaaS)-Modell ermöglicht es LockBit seinen Affiliates, Angriffe effizient durchzuführen, wobei vor allem große Unternehmen und Institutionen ins Visier genommen werden.  

LockBit ist eine Ransomware-Variante, die erstmals im September 2019 entdeckt wurde und schnell durch ihre Fähigkeit, Daten effizient zu verschlüsseln und exorbitante Lösegeldforderungen zu stellen, berühmt wurde. Die dritte Version, LockBit 3.0, brachte Verbesserungen an der Ransomware-Infrastruktur, wodurch die Angriffe schneller, schwerer zu erkennen und noch zerstörerischer für die Opfer wurden.

Im Gegensatz zu anderen Ransomware-Gruppen konzentriert sich LockBit auf große Unternehmen, indem es Schwachstellen in Sicherheitssystemen ausnutzt und Daten nahezu unwiderruflich verschlüsselt, falls das Lösegeld nicht bezahlt wird.

Wie agiert die LockBit-Gruppe?  

Die LockBit-Gruppe operiert nach dem Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die schädliche Software Affiliates zur Verfügung stellen, die für die Durchführung der Angriffe verantwortlich sind. Diese Affiliates erhalten einen beträchtlichen Anteil des Lösegelds, während der Rest an die Ransomware-Entwickler geht.

Einige der Hauptstrategien, die von den Angreifern verwendet werden, umfassen:

  • Ausnutzung von Schwachstellen: Die Angreifer nutzen bekannte Schwachstellen und Fehlkonfigurationen in IT-Systemen, wie ungeschützte Server oder schlecht verwaltete Firewalls.
  • Gezieltes Phishing: Die Gruppe verwendet Social-Engineering- und Spear-Phishing-Taktiken, um Mitarbeiter zu täuschen, damit sie Malware herunterladen oder Zugangsdaten preisgeben.  
  • Datenexfiltration: Bevor die Dateien verschlüsselt werden, exfiltriert die LockBit-Gruppe große Datenmengen, was ihnen zusätzlichen Verhandlungsspielraum verschafft, da sie damit drohen, vertrauliche Informationen zu veröffentlichen.  

Ein Alleinstellungsmerkmal von LockBit 3.0 ist sein Bug-Bounty-Programm – eine ungewöhnliche Praxis unter Ransomware-Gruppen –, bei dem Belohnungen für das Auffinden von Schwachstellen in der eigenen Software angeboten werden, um die Robustheit ihrer Operationen zu erhöhen.  

Aktuelle Daten über die globale Wirkung  

Laut dem Ransomware-Bericht 2024 von Cybersecurity Ventures wird Ransomware bis 2031 weltweit Schäden in Höhe von rund 265 Milliarden US-Dollar verursachen, wobei LockBit für einen erheblichen Teil der jüngsten Angriffe verantwortlich ist. Im Jahr 2023 war LockBit an über 40 % aller weltweit gemeldeten Ransomware-Vorfälle beteiligt.  

Das Cybersicherheits-Intelligenzteam von Chainalysis berichtete, dass LockBit im Jahr 2022 etwa 91 Millionen US-Dollar an Lösegeldzahlungen eingenommen hat, wobei die durchschnittliche Lösegeldforderung pro Opfer 1,5 Millionen US-Dollar betrug. Darüber hinaus ergab eine Studie von Sophos, dass LockBit-Angriffe im Durchschnitt zu 21 Tagen Ausfallzeit bei den betroffenen Unternehmen führten, was enorme betriebliche Verluste verursachte.  

Entwicklung des LockBit-Ransomware  

Der LockBit-Ransomware ist in der Cybersicherheitswelt weithin bekannt für seine rasche Entwicklung und die verschiedenen Versionen, die Verbesserungen und raffiniertere Taktiken eingeführt haben. Seit seinem ersten Erscheinen im Jahr 2019 hat LockBit eine Reihe bedeutender Updates durchlaufen, wobei jede neue Version die Ransomware leistungsfähiger, effizienter und schwieriger zu bekämpfen gemacht hat.

LockBit 1.0: Der Anfang (2019)  

Die ursprüngliche Version von LockBit, die im September 2019 veröffentlicht wurde, war eine der ersten, die die Technik der „Selbstverbreitung“ nutzte, bei der sich die Ransomware lateral im Netzwerk bewegt und schnell andere verbundene Geräte und Server infiziert. Einige bemerkenswerte Merkmale von LockBit 1.0 umfassen:

  • Selbstverbreitung über SMB: Die Ransomware nutzt Schwachstellen im Server Message Block (SMB)-Protokoll, um sich lateral in einem Netzwerk zu bewegen.  
  • Schnelle Verschlüsselung: Bereits in der ersten Version zeichnete sich LockBit durch seine Fähigkeit aus, Daten schnell zu verschlüsseln, wodurch die Reaktionszeit der Sicherheitsteams minimiert wurde.  
  • Fokus auf große Unternehmen: Die erste Version von LockBit zielte auf große Organisationen ab, indem sie Schwachstellen in Unternehmensnetzwerken ausnutzte.  

Diese erste Version zeigte bereits die Ernsthaftigkeit der Gruppe, mit erfolgreichen Angriffen auf große Konzerne, jedoch ohne die fortgeschritteneren Funktionen, die in späteren Versionen eingeführt wurden.

LockBit 2.0: Verfeinerung und doppelte Bedrohung (2021)  

Im Juni 2021 brachte die Gruppe LockBit 2.0 auf den Markt, das eine Reihe von Verbesserungen einführte und die Ransomware zu einer der dominierenden Bedrohungen weltweit machte. Zu den bedeutenden Verbesserungen dieser Version gehören:

  • Ransomware-as-a-Service (RaaS)-Modell: LockBit 2.0 formalisierte sein RaaS-Modell, das es Affiliates ermöglicht, die Ransomware im Austausch für einen Teil der Lösegelder zu nutzen. Dies erweiterte die Basis der Betreiber und erhöhte die Häufigkeit der Angriffe.  
  • Doppelte Erpressung: Es wurde die Technik der doppelten Erpressung eingeführt, bei der die Angreifer nicht nur die Daten verschlüsseln, sondern auch vertrauliche Informationen exfiltrieren. Die Drohung, diese Daten zu veröffentlichen, erhöht den Druck auf das Opfer, das Lösegeld zu zahlen.  
  • Optimierte Verschlüsselungsgeschwindigkeit: LockBit 2.0 wurde zu einer der schnellsten Ransomware, die in der Lage ist, ganze Netzwerke in Minuten zu verschlüsseln und die Reaktionszeit der IT-Teams drastisch zu verkürzen.  
  • Verbesserte Verhandlungsoberfläche: Die Version 2.0 verbesserte auch den Verhandlungsprozess zwischen den Opfern und den Ransomware-Betreibern, mit speziellen Zahlungsseiten und direkter Kommunikation.  

Die Verbesserungen von LockBit 2.0 machten diese Version besonders effektiv gegen Unternehmen, die nicht auf die Exfiltration von Daten vorbereitet waren, da der Verlust kritischer oder vertraulicher Informationen zu irreparablen Schäden für den Ruf und den Betrieb führen könnte.

LockBit 3.0 (LockBit Black): Der technologische Durchbruch (2022)  

Anfang 2022 wurde LockBit 3.0, auch bekannt als LockBit Black, veröffentlicht. Es ist die neueste und fortschrittlichste Version dieser Ransomware. Mit erheblichen Verbesserungen setzte LockBit 3.0 nicht nur die Taktiken der doppelten Erpressung und RaaS fort, sondern brachte auch Innovationen in mehreren Bereichen, wie die Einführung eines Bug-Bounty-Programms für das Auffinden von Schwachstellen in der Ransomware. Wichtige Neuerungen von LockBit 3.0 sind:

  • Bug-Bounty-Programm: Erstmals in der Geschichte der Ransomware führte LockBit 3.0 ein Bug-Bounty-Programm ein, bei dem Hacker Belohnungen für das Auffinden von Schwachstellen in ihrer eigenen Software erhalten, um die Effizienz und Sicherheit der Operation zu verbessern.  
  • Selektive Verschlüsselung: Im Gegensatz zu früheren Versionen verfügt LockBit 3.0 über die Fähigkeit, gezielt kritische Dateien zu verschlüsseln, was den Prozess beschleunigt und wertvollere Daten priorisiert.  
  • Erweiterter Schutz vor Analyse: Es wurden fortschrittliche Ausweichtechniken eingeführt, um die Erkennung durch Sicherheitslösungen zu vermeiden, was die Analyse der Ransomware für Cybersicherheitsexperten erschwert.  
  • Verbesserte Geschwindigkeit: Die Verschlüsselung und die laterale Bewegung innerhalb von Netzwerken wurden noch schneller und effizienter, um den maximalen Schaden anzurichten, bevor eine Abwehrreaktion möglich ist.  
  • Personalisierung des Lösegelds: LockBit 3.0 ermöglicht es den Betreibern, die Lösegeldforderungen individuell anzupassen, was den Erpressungsprozess für jedes Opfer spezifischer und effektiver macht.  

Zusätzlich verstärkte LockBit 3.0 seine Anonymitätsmaßnahmen durch die Nutzung fortschrittlicher Verschlüsselungstechniken, um sich vor der Verfolgung durch Sicherheitsbehörden zu schützen. Dieses neue Maß an Raffinesse festigte LockBit als eine der gefährlichsten Ransomware in Umlauf.

Vergleich der Versionen

MerkmalLockBit 1.0LockBit 2.0LockBit 3.0 (Black)
Veröffentlichungsjahr201920212022
RaaS-ModellNeinJaJa
VerschlüsselungsgeschwindigkeitSchnellSchnell und effizient Selektiv und noch schneller
Doppelte ErpressungNeinJaJa
Bug-Bounty-ProgrammNeinNeinJa
Schutz vor AnalyseGrundlegendVerbessertFortgeschritten
Laterale BewegungÜber SMB Über SMB und RDP Sehr effizient und unsichtbar
VerhandlungsoberflächeGrundlegendVerbessertHochentwickelt

Der LockBit-Ransomware entwickelt sich weiterhin in alarmierendem Tempo, wobei jede Version Verbesserungen bringt, die die Angriffe schneller, schwieriger zu verhindern und zerstörerischer machen. Seit dem LockBit 1.0 hat sich die Gruppe mit LockBit 2.0 schnell zu einer dominierenden Kraft entwickelt, indem sie die doppelte Erpressung und ein RaaS-Modell einführte, das zahlreiche Affiliates anzog. Mit LockBit 3.0 (LockBit Black) haben sie die Raffinesse in der Ransomware-Technologie neu definiert, indem sie selektive Verschlüsselung, Bug-Bounty-Programme und verbesserte Schutzmaßnahmen gegen die Entdeckung eingeführt haben.

Der Schutz vor LockBit und seinen Varianten erfordert robuste Cybersicherheitsmaßnahmen, wie regelmäßige Backups, Netzsegmentierung, Intrusion Detection und die Erstellung von Reaktionsplänen auf Vorfälle. Es ist entscheidend, über die neuesten Taktiken der LockBit-Gruppe auf dem Laufenden zu bleiben, um Schäden zu minimieren und Risiken zu reduzieren. Wenn Sie von einem LockBit-Ransomware-Angriff betroffen sind, können Sie auf unsere Lösungen zur Entschlüsselung von Ransomware-Dateien zählen. Kontaktieren Sie jetzt unsere Spezialisten.  

Häufig gestellte Fragen über Ransomware Entschlüsselung

Jeden Tag werden Ransomware-Angriffe weiter entwickelt. Nach einem erfolgreichen Angriffsversuch ordnet die Ransomware schnell die wichtigsten Dateien des Benutzers und beginnt Verschlüsselung zu beginnen. Microsoft Office-Dateien, Datenbanken, PDFs und Bilder sind die Hauptziele der Ransomware.

Ja, allerdings ist die Ransomware so konzipiert, dass sie von der Firewall nicht erkannt wird, so dass sie in das interne System des Unternehmens eindringen und die Verteidigung ausschalten kann, sich „seitlich” bewegt und die Backup-Routinen schlussendlich ausschaltet.

Der Benutzer kann die Ransomware-Aktion identifizieren, auch wenn das System sie nicht erkennen kann. Die Malware verwendet die systemeigenen Ressourcen für den Verschlüsselungsprozess und reagiert möglicherweise nur langsam auf Benutzeranfragen.

Die Dateierweiterungen werden geändert, und es wird eine spezielle Erweiterung hinzugefügt, in der die Angreifergruppe erwähnt wird. Halten Sie Ausschau nach diesen Anzeichen.

Ja, das ist prinzipiell möglich. Dabei besteht allerdings das Risiko, dass einige Dateien beschädigt werden. Sobald Sie die Ransomware-Aktion auf dem System erkannt haben, sollten Sie das Gerät vom Internet trennen. Dadurch wird die Gruppenkommunikation mit der Malware unterbrochen, manche Ransomware kann die Verschlüsselung aber auch ohne Internetzugang fortsetzen.

Sie können auch Antivirus-Gegenmaßnahmen einleiten, um die Malware zu isolieren und zu löschen, sofern das Antivirusprogramm nicht von der Ransomware deaktiviert wurde.

Die Verschlüsselung zu stoppen ist extrem schwierig, da die Ransomware so konzipiert ist, dass sie alle Gegenmaßnahmen des Systems oder des Benutzers deaktiviert, wodurch die Wahrscheinlichkeit sinkt, dass der Prozess durch die Maßnahmen unterbrochen wird.

Die Angriffe erfolgen in der Regel dann, wenn sich die wenigsten Nutzer im System befinden. Das führt zu den meisten Angriffen an Wochenenden und Feiertagen und in den frühen Morgenstunden.

Es gibt zahlreiche Verschlüsselungsalgorithmen, aber die am häufigsten verwendeten sind RSA [Rivest-Shamir-Adleman]-2048 und AES [Advanced Encryption Standard].

Bleiben Sie zunächst ruhig, denn die Kriminellen setzen auf die Verzweiflung des Opfers. Befolgen Sie diese Tipps:

  • Isolieren Sie das betroffene Gerät – Die Ransomware kann sich „seitlich” durch das System bewegen und andere Geräte erreichen, daher ist es wichtig, ihr Aktionsfeld zu isolieren.
  • Überprüfen Sie das Backup – Wenn das Backup nicht von der Ransomware erreicht wurde, können die Daten schnell und ohne größere Probleme wiederhergestellt werden.
  • Vermeiden Sie den Kontakt mit den Kriminellen – Kriminelle nutzen psychologische Taktiken, um in kürzester Zeit so viel Geld wie möglich zu erpressen; die Tatsache, dass das Opfer emotional mit dem Vorfall verbunden ist, macht es zu einem leichten Ziel.
  • Verhandeln Sie nicht mit den Kriminellen – Die Gruppe gibt keine Garantie, dass der Entschlüsselungsschlüssel nach Zahlung des Lösegelds freigegeben wird, oft geschieht genau das eben nicht. Außerdem wird die Zahlung die Gruppe für weitere Angriffe finanzieren.
  • Wenden Sie sich an die Regierungsbehörden – Die Regierung hat auf die Bekämpfung von Cyberangriffen spezialisierte Behörden, die den Fall untersuchen werden (BSI).
  • Wenden Sie sich an ein Unternehmen, das sich auf die Entschlüsselung von Ransomware-Dateien spezialisiert hat – RansomHunter ist in der Lage, Ransomware-Dateien zu entschlüsseln, ohne dass der Entschlüsselungsschlüssel benötigt wird, unsere Lösungen sind eine Alternative zur Zahlung des Lösegelds.

Ja, in der überwiegenden Mehrheit der Szenarien war RansomHunter in der Lage, die Ransomware-Dateien zu entschlüsseln, ohne das Lösegeld zu zahlen. Dies ist technisch nur möglich durch eine eigens von uns entwickelte Technologie, die der Ransomware überlegen ist und mit der die Daten vollständig und strukturiert rekonstruiert werden konnten.

Wir sind rund um die Uhr online

Füllen Sie das Kontaktformular aus und wir kontaktieren Sie, um den Entschlüsselungs-Prozess Ihrer Daten zu starten. Wir stehen Ihnen stets zur Verfügung, rund um die Uhr und ohne Ausnahme, auf Deutsch, Englisch, Spanisch, Französisch und Italienisch.

Die neusten Einblicke unserer Experten

Ransomware LockBit

Was ist der gefürchtete LockBit-Ransomware?

Der LockBit-Ransomware ist eine der berüchtigtsten Cyberbedrohungen unserer Zeit und hat sich zu einer der fortschrittlichsten und gefährlichsten Gruppen weltweit entwickelt. Mit einem Ransomware-as-a-Service (RaaS)-Modell ermöglicht es LockBit seinen Affiliates,

Weiterlesen