LockBit-Ransomware-Gruppe kehrt mit weiterentwickelten Fähigkeiten nach Zerschlagung zurück

Die berüchtigte Ransomware-as-a-Service (RaaS)-Operation LockBit hat Widerstandsfähigkeit bewiesen und ihre Fähigkeiten nach einer groß angelegten internationalen Zerschlagung durch Strafverfolgungsbehörden im Februar 2024 weiterentwickelt. Die Operation Cronos hat die Infrastruktur der Gruppe erheblich gestört, deren Administration-Panel kompromittiert und interne Daten offengelegt.

Nach der Operation stellte LockBit den Opfern Entschlüsselungsschlüssel zur Verfügung und gab bekannt, dass gestohlene Daten oft auch nach Zahlung von Lösegeld zurückgehalten wurden. Diese Enthüllung verursachte Reputationsschäden und führte zunächst zu einem Rückgang der Neuinfektionen. Die Gruppe gelang es jedoch, den Anschein eines normalen Betriebs aufrechtzuerhalten, indem sie frühere Opfer auf neuen Leckseiten erneut veröffentlichte.

Nun, im September 2025, ist die Gruppe mit LockBit 5.0 zurückgekehrt, einer Version, die als erheblich gefährlicher als ihre Vorgänger gilt. Diese neueste Iteration integriert verbesserte technische Raffinesse und fortschrittliche Umgehungstechniken. Frühere Versionen, wie LockBit 3.0 (LockBit Black), nutzten komplexe Verschlüsselungsmethoden, einschließlich eines modifizierten Salsa20-Algorithmus in Verbindung mit RSA, und setzten Anti-Analyse-Taktiken wie dynamische API-Auflösung und DLL-Reflektion ein.

LockBits Fähigkeit, sich nach Ermittlungsmaßnahmen anzupassen, unterstreicht die anhaltende Natur fortgeschrittener Cyberbedrohungen. Der Einsatz von LockBit 5.0 stellt ein erhebliches Risiko für kritische globale Sektoren dar, darunter Finanzwesen, Gesundheitswesen und Technologie, und unterstreicht die kontinuierliche Innovation und Anpassungsfähigkeit von Cyberkriminalitätsorganisationen.