Im Mai 2025 wurde die berüchtigte Ransomware-Gruppe LockBit selbst Opfer eines Cyberangriffs, bei dem interne Daten kompromittiert und öffentlich gemacht wurden.

🚨Was ist passiert?

Am 7. Mai 2025 entdeckten Sicherheitsforscher, dass mehrere Darknet-Seiten von LockBit defaced wurden. Statt der üblichen Erpressungsinhalte erschien die Nachricht: „Don’t do crime. CRIME IS BAD xoxo from Prague“, begleitet von einem Link zu einem Datenarchiv. Dieses Archiv enthielt eine SQL-Datenbank mit sensiblen Informationen wie etwa 60.000 Bitcoin-Adressen, internen Chat-Protokollen mit Opfern und Zugangsdaten von Affiliates.

💻Bedeutung des Angriffs

Dieser Vorfall gilt als einer der bedeutendsten Einblicke in die internen Abläufe eines Ransomware-as-a-Service (RaaS)-Netzwerks. Die veröffentlichten Daten bieten wertvolle Informationen für Strafverfolgungsbehörden und könnten die Operationen von LockBit erheblich beeinträchtigen. Bereits zuvor, im Februar 2024, hatte die internationale Operation „Cronos“ die Infrastruktur von LockBit teilweise zerschlagen.

🔒 Reaktionen und Spekulationen

Die Identität der Angreifer bleibt unbekannt. Einige Experten vermuten einen Hacktivisten oder eine rivalisierende Gruppe hinter dem Angriff. Der LockBit-Administrator, bekannt als „LockBitSupp“, bestätigte den Vorfall, betonte jedoch, dass der Quellcode und die Entschlüsselungstools nicht betroffen seien.