Die Ransomware-Gruppe Lockbit hat kürzlich einen erheblichen Datenverlust erlitten. Ihre Dark-Web-Partnerpanels wurden mit der Nachricht „Don’t do crime CRIME IS BAD xoxo from Prague“ (Begehen Sie keine Verbrechen, Verbrechen sind schlecht, xoxo aus Prag) verunstaltet, die zu einem MySQL-Datenbank-Dump verlinkt. Dieses Archiv enthält eine SQL-Datei aus der Affiliate-Panel-Datenbank von Lockbit, die zwanzig Tabellen umfasst, darunter insbesondere eine Tabelle „btc_addresses“ mit 59.975 eindeutigen Bitcoin-Adressen und eine Tabelle „chats“ mit über 4.400 Verhandlungsnachrichten von Opfern aus dem Zeitraum von Dezember 2024 bis Ende April 2025.
Mit den Erkenntnissen aus diesem Hackerangriff und dem vorhandenen Wissen der Qualys-Threat-Research-Unit über Lockbit, können die Methoden der Gruppe detailliert beschrieben werden. So können sich Sicherheitsteams mit praktischem Wissen ausstatten, um ihre Abwehrmaßnahmen zu verbessern.
Wer ist Lockbit? Wie hat sich die Gruppe entwickelt und wie arbeitet sie?
Lockbit ist eine bekannte Ransomware-Bande, die seit 2019 ihre Ransomware-as-a-Service-Familie (RaaS) betreibt. Die Gruppe hat ihre Schadsoftware kontinuierlich weiterentwickelt und mehrere Versionen veröffentlicht, darunter Lockbit 2.0 im Juni 2021 und Lockbit 3.0 (auch bekannt als Lockbit-Black) im Juni 2022. Jede neue Version brachte verbesserte Funktionen mit sich und zielte auf eine größere Bandbreite an Betriebssystemen wie Windows, Linux, VMware ESXi und macOS ab. LockBit arbeitet nach einem Affiliate-Modell, bei dem die Kerngruppe die Ransomware entwickelt und unterhält, während die Affiliates die Angriffe durchführen und einen Prozentsatz der Lösegeldzahlungen erhalten.
Ihre Angriffe folgen in der Regel einem systematischen Muster, das Folgendes umfasst:
- Erster Zugriff (Phishing, Exploits, schwache RDP).
- Lateral-Movement (Tools wie Mimikatz, Cobalt-Strike).
- Privilege-Escalation .
- Datenexfiltration zur doppelten Erpressung.
- Dateiverschlüsselung.
- Übermittlung der Lösegeldforderung.
- Eventuelle Veröffentlichung der Daten, wenn die Forderungen nicht erfüllt werden.
Lockbit 3.0 hat insbesondere Techniken aus anderen Ransomware-Programmen integriert und seine Fähigkeit verbessert, der Erkennung zu entgehen und Wiederherstellungsbemühungen zu behindern.
Monero: Die Währung der Wahl
Basierend auf durchgesickerten Chats aus Ransomware-Verhandlungen variieren die von den Angreifern geforderten Lösegeldbeträge stark und reichen von 4.000 US-Dollar in Bitcoin (BTC) für kleinere Vorfälle bis zu unglaublichen 150.000 US-Dollar in Bitcoin für größere Angriffe mit groß angelegter Verschlüsselung und der Androhung von Datenlecks. Besonders auffällig an diesen Daten sind jedoch die von den Angreifern angebotenen Zahlungsoptionen: Bitcoin (BTC) bleibt zwar weiterhin das Standardmittel, aber Monero (XMR) gewinnt zunehmend an Bedeutung. Tatsächlich offenbaren die durchgesickerten Chats eine faszinierende Wendung: Angreifer bieten Opfern, die sich für eine Zahlung in Monero statt in Bitcoin entscheiden, bis zu 20 Prozent Rabatt an. Dies ist nicht nur ein zufälliger Vorteil, sondern signalisiert eine bewusste Präferenz für Monero, die wahrscheinlich auf dessen datenschutzorientiertes Design zurückzuführen ist.
Jetzt patchen oder mitigieren: Kritische CVEs, die von Lockbit ausgenutzt werden
Die Analyse der durchgesickerten Informationen und historischer Daten deutet auf ein konsistentes Vorgehen bei der Ausnutzung von Schwachstellen hin. Für Sicherheitsteams stellt die folgende Liste kritische Schwachstellen dar, die sofort gepatcht oder mitigiert werden müssen, um bekannte Einfallstore für Lockbit zu schließen:
| CVE ID | Product Name | Vendor | QDS (QVS) | QID |
| CVE-2023-4966 | NetScaler ADC/Gateway | Citrix | 95 | 378935 |
| CVE-2023-27351 | PaperCut MF/NG | PaperCut | 95 | 730790, 378441 |
| CVE-2023-27350 | PaperCut MF/NG | PaperCut | 100 | 730790, 378441 |
| CVE-2023-0669 | GoAnywhere MFT | Fortra | 95 | 730720 |
| CVE-2022-36537 | ZK Framework | Potix | 95 | 378,061 |
| CVE-2022-22965 | Spring Framework | VMware | 100 | Multiple QIDs |
| CVE-2022-21999 | Windows Print Spooler | Microsoft | 95 | 91857 |
| CVE-2021-44228 | Apache Log4j2 | Apache | 100 | Multiple QIDs |
| CVE-2021-36942 | Windows LSA | Microsoft | 95 | 91813, 91803 |
| CVE-2021-34523 | Exchange Server | Microsoft | 100 | 50114, 50112 |
| CVE-2021-34473 | Exchange Server | Microsoft | 100 | 50114, 50107 |
| CVE-2021-31207 | Exchange Server | Microsoft | 95 | 50114, 50111 |
| CVE-2021-22986 | BIG-IP | F5 Networks | 100 | 38833, 375344 |
| CVE-2021-20028 | SMA Firmware | SonicWall | 94 | 731853 |
| CVE-2020-1472 | Netlogon | Microsoft | 100 | Multiple QIDs |
| CVE-2019-7481 | SMA100 | SonicWall | 95 | 730221 |
| CVE-2019-19781 | Citrix ADC/Gateway | Citrix | 100 | 372685, 372305 |
| CVE-2019-11510 | Pulse Connect Secure | Ivanti | 100 | 38771 |
| CVE-2019-0708 | Remote Desktop Services | Microsoft | 100 | 91893, 91541, 91534 |
| CVE-2018-13379 | FortiOS SSL VPN | Fortinet | 100 | 43702 |
Tabelle 1: Kritische CVEs, die von Lockbit ausgenutzt werden
Dies ist keine vollständige Liste aller Schwachstellen, die jemals von Lockbit ausgenutzt wurden, aber diese CVEs wurden häufig in ihren Angriffsketten beobachtet. Die Priorisierung von Patches für diese Schwachstellen ist ein entscheidender und sofortiger Schritt, um die Angriffsfläche zu reduzieren. Wenn Patches nicht sofort verfügbar sind, sollten Unternehmen vorübergehend proaktive Abhilfemaßnahmen einsetzen, um die damit verbundenen Risiken zu mindern.
Über traditionelle Endpunkte hinaus: weitere kompromittierte Systeme
Die durchgesickerten Verhandlungs-Chats offenbaren auch einen größeren Umfang an angegriffenen Systemen und Tools, der über Standard-Windows- und Linux-Server hinausgeht, und unterstreichen die Notwendigkeit einer ganzheitlichen Verteidigungsstrategie:
Veeam-Backup-Software: Diskussionen über Schwierigkeiten bei der Wiederherstellung aus Veeam-Backups deuten darauf hin, dass Angreifer die Backup-Infrastruktur ins Visier nehmen. Zwar wurde in den Chats keine bestimmte CVE namentlich genannt, doch bekannte Schwachstellen in Veeam (z. B. CVE-2023-27532, CVE-2024-40711, CVE-2022-26500 und CVE-2022-26501) werden aktiv ausgenutzt, um Zugriff auf Backup-Metadaten und Anmeldedaten zu erhalten. Die oben genannten CVEs sind auch Teil des CISA KEV-Katalogs.
Diese Veeam-Installationen sollten vollständig gepatcht sein, insbesondere wenn es um bekannte kritische CVEs geht. Die Isolierung von Backup-Netzwerken und -Repositories von der Produktionsumgebung und die Durchsetzung einer starken Authentifizierung für den Zugriff sind ebenfalls von entscheidender Bedeutung, um sich vor Angriffen auf Backup-Software zu schützen.
vCenter Server und ESXi: Lockbit 2.0 führte eine Linux-basierte Variante ein, die speziell für die Verschlüsselung von virtuellen VMware-ESXi-Maschinen entwickelt wurde und den Wirkungsradius vervielfacht, indem sie ganze Hypervisor-Hosts auf einmal angreift. In den Gesprächen weisen sie die Opfer häufig an, sich zur Entschlüsselung bei vCenter anzumelden.
VMware- und vCenter-Instanzen sollten als kritische Ressource betrachten werden. Es muss sichergestellt werden, dass alle bekannten ausgenutzten Schwachstellen vollständig gepatcht sind (z. B. CVE-2021-44228, CVE-2024-38813, CVE-2024-38812, CVE-2022-22948, CVE-2023-34048, CVE-2021-22017, CVE-2021-22005, CVE -2020-3952, CVE-2021-21972, CVE-2021-21985, CVE-2021-21973, CVE-2019-5544, CVE-2025-22225, CVE-2024-37085, CVE-202 0-3992, CVE-2025-22224, CVE-2025-22226), die alle Teil des CISA KEV-Katalogs sind. Außerdem wäre die Durchsetzung einer Multi-Faktor-Authentifizierung (MFA) und des Prinzips der geringsten Berechtigungen für alle vCenter-Zugriffe äußerst hilfreich.
NAS-Geräte: Die Verschlüsselung von NAS-Systemen neben anderen Netzwerkressourcen weist auf deren Anfälligkeit hin, wahrscheinlich durch offengelegte SMB/NFS-Freigaben oder eine schwache Netzwerksegmentierung. Es ist unerlässlich, die NAS-Firmware regelmäßig zu aktualisieren, strenge Zugriffskontrollen (ACLs) zu implementieren und das Netzwerk zu segmentieren, um den Zugriff auf NAS-Geräte nur auf die erforderlichen Systeme und Benutzer zu beschränken – idealerweise über sichere Protokolle oder VPNs.
Dateiübertragungstools (FileZilla, WinSCP): Die Erwähnung der Verwendung dieser Tools zur Übertragung von Entschlüsselungsprogrammen an ESXi deutet darauf hin, dass Angreifer mit Standard-IT-Tools vertraut sind und diese missbrauchen könnten. Obwohl sie in diesem Zusammenhang nicht direkt für den ersten Zugriff ausgenutzt werden, zeigen sie doch Möglichkeiten für die Übertragung bösartiger Dateien nach einer Kompromittierung auf. FileZilla und WinSCP wurden in der Vergangenheit mit Schwachstellen in Verbindung gebracht, die von Malware zum Abgreifen von Anmeldedaten ausgenutzt wurden. Diese Beispiele verdeutlichen die Notwendigkeit umfassender Erkennungsfunktionen in Netzwerk-, Host- und Containerumgebungen. Qualys bietet eine nahezu 100-prozentige Abdeckung der bekannten ausgenutzten Schwachstellen (KEVS) der CISA und das Qualys-Threat-Research-Unit-Team arbeitet aktiv daran, solchen Bedrohungen immer einen Schritt voraus zu sein.
Erster Zugriff und Bereitstellung
Das Datenleck gab auch Einblicke in die Methoden des ersten Zugriffs, wobei ein Hinweis auf die Verwendung schwacher oder standardmäßiger Anmeldedaten („you know your pass P@ssw0rd“) besonders auffiel. Darüber hinaus deuten Hinweise auf die Entfernung von Administratoren aus der domain-kontrollierenden Infrastruktur auf die Ausnutzung falsch konfigurierter oder übermäßig privilegierter Domaincontroller hin. Zwar wurden keine spezifischen Bereitstellungsskripte detailliert beschrieben, doch die Anpassung der Payloads an verschiedene Architekturen (x32 und x64) und Plattformen (Windows .exe, ESXi über Dateiübertragung) zeigt die Notwendigkeit einer Verteidigung in heterogenen Umgebungen.
Fazit
Der Lockbit-Leak erinnert an die anhaltende und sich weiterentwickelnde Bedrohung durch Ransomware-Gruppen. Durch das Verständnis der ausgenutzten Schwachstellen und der angegriffenen Systeme, wie sie in diesen Daten offenbart werden, können Schwachstellenmanagement-Experten und -Praktiker sofortige, umsetzbare Maßnahmen ergreifen, um ihre Umgebungen zu härten. Die folgenden wichtigen Taktiken sind unerlässlich, um die gängigen Angriffsvektoren von Lockbit zu unterbinden und die Widerstandsfähigkeit von Unternehmen gegen Ransomware-Bedrohungen zu verbessern:
- Priorisierung von Patches für bekannte ausgenutzte CVEs.
- Sicherung häufig übersehener Systeme wie Backup-Infrastruktur und NAS-Geräte.
- Verstärkung grundlegender Sicherheitsmaßnahmen wie starke Anmeldedaten und Zugriffskontrolle.
Von Saeed Abbasi, Manager Product – Threat Research Unit, Qualys
#Qualys
powered by Borlabs Cookie 