Hacker brechen in die LockBit-Bande ein und veröffentlichen fast 60.000 Bitcoin-Adressen.

Nachdem Hacker in die Partnerdatenbank der Gruppe eingedrungen sind, wurden Tausende von Bitcoin-Adressen, die mit Lösegeldzahlungen über das LockBit-Netzwerk in Verbindung stehen, offengelegt.

Laut einem Bericht von Bleeping Computer haben unbekannte Hacker die Darknet-Infrastruktur von LockBit gehackt, die Partner-Panels verunstaltet und eine Datei mit Daten aus dem internen Betrieb der Gruppe öffentlich zugänglich gemacht.

Die geleakte MySQL-Datenbank scheint Jahre an Ransomware-Aktivitäten zu umfassen und Details zum Affiliate-Management-System von LockBit zu enthüllen.

Zu den wichtigsten Erkenntnissen gehörten fast 60.000 Bitcoin-Wallet-Adressen, die vermutlich mit Lösegeldzahlungen von Opfern in Verbindung stehen. Diese Informationen könnten helfen, die Bewegung von Lösegeldgeldern durch die LockBit-Infrastruktur nachzuverfolgen.

Der Einbruch wurde auch von einem anonymen LockBit-Betreiber bestätigt, wie ein von einem X-Nutzer geteiltes Gespräch nahelegt. Der Betreiber bestätigte jedoch, dass keine privaten Schlüssel durchgesickert seien.

Die durchgesickerten Daten enthielten auch Aufzeichnungen über die von LockBit-Partnern erstellten Ransomware-Tools, Details darüber, wie bestimmte Systeme angegriffen wurden, und über 4.400 private Verhandlungsnachrichten zwischen der Gruppe und ihren Opfern, die den Zeitraum von Dezember 2024 bis April 2025 umfassten.

Es ist weiterhin unbekannt, wer den Angriff verübt hat oder wie die Angreifer Zugriff auf die Backend-Systeme von LockBit erlangten.

Die Ermittler stellten jedoch fest, dass eine hinterlassene Schmiererei mit einer Nachricht übereinstimmt, die bei einem kürzlich erfolgten Angriff auf die Website der Everest-Ransomware-Gruppe verwendet wurde, was auf einen möglichen Zusammenhang zwischen den beiden Vorfällen hindeutet.

Eine Nachricht der LockBit-Angreifer. Quelle: Bleeping Computer

Dieser Verstoß folgt auf die groß angelegte Zerschlagung der LockBit-Infrastruktur im Februar 2024 im Rahmen der Operation Cronos, einer koordinierten Aktion des FBI, der NCA, von Europol und anderen.

Bei der Razzia beschlagnahmten die Behörden 34 Server, 1.000 Entschlüsselungsschlüssel und den Zugriff auf LockBits Leak-Seiten, auf denen sie drohen, die gestohlenen Daten der Opfer zu veröffentlichen.

Die Bande konnte sich später wieder aufbauen und ihre Aktivitäten fortsetzen, aber dieser jüngste Kompromiss verschärft ihre Rückschläge und beschädigt ihren Ruf weiter.

Was ist die LockBit-Ransomware-Gruppe?

LockBit gehört zu den produktivsten Ransomware-as-a-Service (RaaS)-Gruppen und ist bekannt für Angriffe auf große Unternehmen, Krankenhäuser und kritische Infrastrukturen. Seit seinem Auftauchen im Jahr 2019 soll es über 500 Millionen Dollar von mehr als 2.500 Opfern in 120 Ländern erpresst haben.

Zu den Opfern der Gruppe gehören Boeing, Royal Mail UK, ICBC und Capital Health. Das Modell der Gruppe ermöglicht es Partnern, Angriffe mit den Tools von LockBit durchzuführen und das Lösegeld mit den Entwicklern zu teilen.

Im Dezember 2024 erhoben US-Behörden Anklage gegen Rostislav Panev, einen russisch-israelischen Doppelbürger, wegen angeblicher Tätigkeit als Entwickler für die LockBit-Ransomware-Gruppe. Er soll über 230.000 US-Dollar in Kryptowährung für seine Rolle bei der Entwicklung bösartiger Tools erhalten haben, die bei Angriffen eingesetzt wurden.

Zwei weitere russische Staatsbürger, Artur Sungatov und Ivan Kondratyev, wurden in den USA ebenfalls wegen Ransomware-Angriffen auf amerikanische Unternehmen angeklagt.

Derweil ist der mutmaßliche Anführer von LockBit, Dmitri Choroschew, weiterhin auf freiem Fuß. Die USA haben eine Belohnung von 10 Millionen Dollar für Informationen ausgesetzt, die zu seiner Verhaftung führen.

Kryptoindustrie unter Beschuss

Wie Invezz bereits berichtete, überstiegen die Krypto-Hacks allein im ersten Quartal 1,6 Milliarden Dollar und machten es zum schlechtesten Quartal der Branche aller Zeiten.

Der Großteil dieser Verluste stammte aus zwei Angriffen auf zentralisierte Börsen, nämlich Bybit, das 1,46 Milliarden Dollar verlor, und Phemex, das um 69,1 Millionen Dollar gehackt wurde.

Obwohl DeFi-Plattformen im ersten Quartal nur 6 % der Verluste ausmachten, gab es im März dennoch 20 separate Vorfälle, darunter Exploits bei Abracadabra.money, Zoth und ZkLend, die sich auf über 33 Millionen Dollar beliefen.