Die gefürchtete LockBit-Bande meldet sich zurück. Mit LockBit 5.0 präsentiert die Cybercrime-Organisation eine gefährliche Weiterentwicklung ihrer Erpressersoftware – und setzt damit ein Zeichen der Rebellion gegen internationale Ermittlungsbehörden.

Nur Monate nach der spektakulären Operation Cronos im Februar 2024, bei der Strafverfolger weltweit Server beschlagnahmten und den mutmaßlichen Anführer enttarnten, kehrt die Ransomware-Gruppe mit voller Wucht zurück. Die neue Version 5.0, die pünktlich zum sechsjährigen Jubiläum der Gruppe veröffentlicht wurde, bedroht erstmals gleichzeitig Windows-, Linux- und VMware ESXi-Systeme.

Das Cybersicherheitsunternehmen Trend Micro bestätigte diese Woche die Entdeckung der ersten LockBit 5.0-Programme im Internet und warnt: Die erweiterten Funktionen machen die Software "erheblich gefährlicher" als ihre Vorgänger.

Dreifach-Bedrohung: Ein Schlag gegen ganze IT-Landschaften

Was LockBit 5.0 besonders gefährlich macht, ist seine plattformübergreifende Funktionalität. Erstmals kann die Ransomware koordinierte Angriffe auf Windows-Arbeitsplätze, Linux-Server und VMware-Virtualisierungsumgebungen gleichzeitig durchführen.

Bedeutet konkret: Kriminelle können mit einem einzigen Angriff die gesamte IT-Infrastruktur eines Unternehmens lahmlegen – vom Laptop der Buchhaltung bis zu den zentralen Servern, auf denen Dutzende virtuelle Maschinen laufen.

Die Windows-Variante nutzt ausgeklügelte Verschleierungstechniken und lädt ihre Schadfunktionen über DLL-Reflexion, um Sicherheitssoftware zu umgehen. Die Linux-Version bietet Angreifern flexible Kommandozeilenoptionen zur gezielten Auswahl von Verzeichnissen und Dateitypen.

Am kritischsten aber ist die ESXi-Variante: Sie kann komplette virtualisierte Umgebungen mit einem einzigen Befehl verschlüsseln – ein Albtraum für jeden IT-Administrator.

Comeback mit verbesserter Krimineller Infrastruktur

LockBit 5.0 bringt nicht nur technische Neuerungen mit sich. Die Gruppe hat auch ihr Affiliate-Programm grundlegend überarbeitet – jenes System, über das andere Cyberkriminelle gegen Gewinnbeteiligung die LockBit-Tools nutzen können.

Nach Informationen der Sicherheitsforscher wurden sowohl das Portal als auch die Benutzeroberfläche für Partner modernisiert. Ein klares Signal: LockBit will seine durch Operation Cronos zerstreute Verbrecherorganisation neu aufbauen und wieder zur führenden Ransomware-as-a-Service-Plattform werden.

Die neue Malware verschleiert aggressiv ihre Aktivitäten, beendet Sicherheitsdienste und löscht Ereignisprotokolle nach der Verschlüsselung. Jede verschlüsselte Datei erhält eine zufällige 16-stellige Endung – eine gezielte Maßnahme, um Wiederherstellungsprozesse zu erschweren.

Warnung vor neuer Angriffswelle

Cybersicherheitsexperten rechnen in den kommenden Wochen mit einer Zunahme der Angriffe mit der neuen LockBit-Variante. Die Gruppe und ihre Partner werden versuchen, ihre aufgerüstete Software schnell zu Geld zu machen.

Besonders besorgniserregend: Während LockBit geschwächt war, eroberten Konkurrenzgruppen wie Akira und Qilin Marktanteile – jede mit Hunderten von Opfern im vergangenen Jahr. LockBit 5.0 ist der Versuch, diese Vormachtstellung zurückzugewinnen.

Trend Micro mahnt Unternehmen: "Organisationen müssen umfassende plattformübergreifende Verteidigungsmaßnahmen einrichten, mit besonderem Fokus auf den Schutz der Virtualisierungsinfrastruktur."

Das Comeback von LockBit zeigt einmal mehr: Selbst nach erfolgreichen Ermittlungen können sich Cybercrime-Organisationen anpassen, neu formieren und mit noch größerer Schlagkraft zurückkehren.