LockBits Dark-Web-Domains gehackt, interne Daten und Wallets durchgesickert
Die Dark-Web-Domains von LockBit wurden gehackt, wodurch interne Daten, Partnertools und über 60.000 Bitcoin-Wallets offengelegt wurden – ein schwerer Schlag für die Ransomware-Gruppe.
Die Ransomware-Gruppe LockBit hat einen schweren Schlag erlitten, nachdem ihre Darknet-Domain und -Infrastruktur von einem unbekannten Angreifer gekapert und beschädigt wurde. Der Angriff, der am 7. Mai ans Licht kam, legte mehrere versteckte Service-Panels der Gruppe lahm und beinhaltete eine öffentliche Aufforderung: „Begeht keine Verbrechen. VERBRECHEN IST SCHLECHT. xoxo aus Prag.“
Dieser Verstoß ist der jüngste in einer Reihe von Rückschlägen für LockBit, einst einer der produktivsten Ransomware-as-a-Service (RaaS)-Anbieter. Er ereignete sich weniger als 15 Monate, nachdem internationale Strafverfolgungsbehörden, darunter das FBI und die britische National Crime Agency, Anfang 2024 Teile der Infrastruktur der Gruppe demontiert und mehrere Mitglieder verhaftet hatten .
Das Besondere an diesem Vorfall ist, dass der Angreifer nicht nur Seiten lahmgelegt, sondern auch interne Daten geleakt hat, die einen seltenen Einblick in die Operation ermöglichen. Der veröffentlichte Dump enthält die Kommunikation von Partnern, interne Tool-Details und eine Liste mit über 60.000 Bitcoin-Wallet-Adressen, die angeblich mit LockBits Aktivitäten in Verbindung stehen.
Sicherheitsanalysten gehen davon aus, dass der Angriff von einer rivalisierenden Cybercrime-Gruppe oder einem Hacktivisten mit Insiderwissen durchgeführt wurde. Der erforderliche Zugriff, um mehrere Darknet- Panels zu entstellen und sensible Daten abzugreifen, deutet darauf hin, dass es sich nicht nur um einen Hackerangriff aus Ruhmsucht handelte.
Als Reaktion darauf haben LockBit-Partner und -Unterstützer ihre Betriebe rasch verlagert, doch der Schaden ist bereits deutlich. Das Leck deckt Betriebsabläufe, Umsatzmodelle und technische Schwachstellen auf.
In den letzten Monaten versuchte LockBit, wieder an Boden zu gewinnen, indem es Updates für seine Malware ankündigte und eine neue Infrastruktur nach den Durchsetzungsmaßnahmen im Jahr 2024 versprach. Der jüngste Vorfall wirft diese Bemühungen nicht nur zurück, sondern deckt auch Schwachstellen auf, die erneut gegen das Unternehmen verwendet werden könnten.
Im April 2025 wurde die Everest-Ransomware-Gruppe von einer nahezu identischen Verunstaltung getroffen. Ein unbekannter Angreifer hinterließ dieselbe Nachricht auf ihrer Darknet-Seite. Der Vorfall wurde erstmals von Tammy H. gemeldet , einer Darknet-Ermittlerin bei Flare.io, einem kanadischen Unternehmen für Cybercrime-Bedrohungsanalysen.
Dennoch könnte das jüngste LockBit-Datenleck für Strafverfolgungsbehörden und Cybersicherheitsforscher eine wahre Goldgrube sein. Es kann bei der Identifizierung von Opfern, der Verfolgung von Wallets und sogar der möglichen Enttarnung wichtiger Partner helfen. Für LockBit ist dies nur ein weiterer Tiefpunkt in einer Abwärtsspirale , die die Gruppe einst hinter spektakulären Angriffen auf Unternehmen, Krankenhäuser und Regierungssysteme sah.
HackRead
