Die berüchtigte Ransomware-Gruppe LockBit schlägt zurück – und zwar härter als je zuvor. Nur Monate nach einem internationalen Polizeischlag gegen ihre Infrastruktur haben die Cyberkriminellen ihre neueste Waffe präsentiert: LockBit 5.0. Diese ausgeklügelte Ransomware-Variante zielt erstmals gleichzeitig auf Windows-, Linux- und VMware ESXi-Systeme ab.

Ende September 2025 entdeckten Sicherheitsforscher die neue Bedrohung, die pünktlich zum sechsten Jubiläum der Gruppe veröffentlicht wurde. Was Experten besonders alarmiert: LockBit 5.0 kann komplette Unternehmensnetzwerke lahmlegen – von einzelnen Arbeitsplätzen bis hin zu virtualisierten Serverzentren.

Dreifache Bedrohung für IT-Systeme

LockBit 5.0 stellt keine komplette Neuentwicklung dar, sondern baut strategisch auf dem bewährten Code der Version 4.0 auf. Diese Kontinuität ermöglicht den Kriminellen simultane Großangriffe auf verschiedenste IT-Umgebungen.

Besonders die Windows-Version beeindruckt durch raffinierte Tarnmechanismen. Sie nutzt starke Code-Verschleierung und lädt ihre Schadsoftware über sogenannte DLL-Reflexion – ein Verfahren, das statische Analysen von Sicherheitstools erheblich erschwert.

Für ihre Partner im Ransomware-as-a-Service-Modell hat die Gruppe zudem die Benutzeroberfläche überarbeitet. Ein übersichtlicheres Hilfemenü mit detaillierten Befehlen bietet Angreifern mehr Flexibilität bei der Anpassung ihrer Attacken.

Unsichtbar und gnadenlos effizient

Die neue Ransomware-Generation setzt auf ein Arsenal anti-forensischer Methoden. Die Windows-Variante manipuliert gezielt das Event Tracing for Windows (ETW) – ein zentrales Überwachungstool des Betriebssystems – und schaltet dutzende sicherheitsrelevante Dienste ab.

Anders als frühere Versionen hinterlässt LockBit 5.0 keine traditionellen Infektionsspuren in der Registry. Stattdessen erhalten verschlüsselte Dateien eine zufällige 16-stellige Erweiterung, was Wiederherstellungsversuche kompliziert. Nach Abschluss der Verschlüsselung löscht die Malware systematisch alle Ereignisprotokolle.

Getreu ihrer Tradition verschont die Ransomware weiterhin russischsprachige Systeme. Die beschleunigten Verschlüsselungsroutinen machen die Variante deutlich heimtückischer und wirkungsvoller.

Angriff auf das Herzstück moderner Rechenzentren

Besonders beunruhigend ist die spezialisierte ESXi-Version, die Sicherheitsfirma Trend Micro als "kritische Eskalation" einstuft. Diese Variante zielt direkt auf VMware-Virtualisierungsinfrastrukturen ab – das Rückgrat moderner Unternehmens-Rechenzentren.

Da ESXi-Server oft hunderte virtueller Maschinen beherbergen, kann ein einziger erfolgreicher Angriff komplette virtualisierte Umgebungen auf einen Schlag lahmlegen. Diese Fähigkeit zur systematischen Zerstörung zeigt das tiefe Verständnis der Gruppe für Unternehmensarchitekturen und ihre Absicht, maximalen Schaden anzurichten.

Die Existenz dieser hochspezialisierten Variante beweist: Kein Betriebssystem und keine Plattform ist vor den heutigen Ransomware-Kampagnen sicher.

Comeback nach Polizeischlag

Das Erscheinen von LockBit 5.0 unterstreicht die bemerkenswerte Hartnäckigkeit der Cyberkriminellen. Im Februar 2024 hatte die internationale "Operation Cronos" die Darknet-Websites und Infrastruktur der Gruppe zerschlagen. Trotz Verhaftungen und Unterbrechungen bewies LockBit seine Fähigkeit zur Neuformierung.

Die Veröffentlichung einer noch mächtigeren Variante signalisiert: Die Kernentwickler bleiben aktiv und versuchen, ihr Partnernetzwerk wieder aufzubauen. Während andere Gruppen wie RansomHub die Marktlücke zu füllen suchten, könnte dieses Comeback einen neuen Kampf um die Vorherrschaft im Ransomware-Markt einläuten.

Schutzmaßnahmen werden kritisch

Unternehmen stehen einer wiederbelebten Bedrohung gegenüber, die koordinierte Angriffe auf komplette Technologie-Stacks ermöglicht. Der Fokus auf ESXi macht den Schutz von Virtualisierungsinfrastrukturen kritischer denn je.

Sicherheitsexperten empfehlen sofortiges Handeln: ESXi-Hosts gehören in isolierte Managementnetzwerke mit eingeschränktem Zugang. Alle Hersteller-Sicherheitspatches müssen umgehend eingespielt werden.

Die bewährten Cybersicherheits-Grundlagen bleiben unverzichtbar: Härtung von Remote-Zugängen wie RDP und VPNs durch Mehr-Faktor-Authentifizierung, rigides Patch-Management für alle Systeme und regelmäßig getestete Offline-Backups. Sicherheitsteams sollten sich auf eine mögliche Angriffswelle gefasst machen, während LockBit neue Partner für ihre 5.0-Plattform rekrutiert.