Blog

Inside LockBit: Die inneren Abläufe eines Ransomware-Giganten

Zusammenfassung

Im Mai 2025 wurde bekannt, dass die Ransomware-Gruppe LockBit selbst von einer Datenpanne betroffen war. Dieser Vorfall enthüllte eine Fülle sensibler Informationen, darunter Datensätze zur Erstellung von Ransomware, Chatprotokolle zwischen Partnern und Opfern sowie Konfigurationsdaten. Das Leck bietet einen noch nie dagewesenen Einblick in die täglichen Abläufe eines der berüchtigtsten Ransomware-as-a-Service (RaaS)-Ökosysteme. Die aufgedeckten Daten wurden über den versteckten Dienst des Tor-Netzwerks zugänglich gemacht und erschienen auf einer scheinbaren LockBit-‘Zwiebel-URL’.

Die durchgesickerten Dateien wurden zwar im Jahr 2024 erstellt, kamen aber erst diesen Monat ans Licht. Sie bieten wertvolle Einblicke in die Aktivitäten von LockBit, einschließlich seiner Kommunikationsstrategien mit den Opfern und seines Partnerprogramms.

In diesem Blog stellen wir unsere wichtigsten Ergebnisse vor, unter anderem:

Muster bei der Erstellung von Nutzdaten und voraussichtlichen Lösegeldforderungen nach Benutzer-ID
Einblicke in die Struktur und Taktik von Lösegeldverhandlungen
Operative Einblicke in die internen Prozesse von LockBit

Wer sind LockBit?

LockBit ist eine bekannte und sehr aktive Ransomware-Gruppe, die das Ransomware-as-a-Service (RaaS)-Modell einsetzt, das es Partnern ermöglicht, ihre Dienste zu nutzen. Die Gruppe entwickelt Ransomware, die die Daten der Opfer verschlüsseln und entschlüsseln kann. Die angeschlossenen Unternehmen, in der Regel einzelne Cyberkriminelle oder kleine Kollektive, nutzen diese Malware, um Unternehmen anzugreifen. Als Gegenleistung für ihre Dienste erhält LockBit einen Prozentsatz des Lösegelds, wenn die Angriffe erfolgreich sind, oder sie können eine Vorauszahlung oder sogar eine Abonnementgebühr verlangen.

Quelle des Lecks

Die Quelle des Lecks stammte von einer Zwiebel-URL, die mit LockBit verbunden ist. Dies deutet darauf hin, dass der Angreifer in die Infrastruktur von LockBit eingedrungen ist und die durchgesickerten Informationen dann auf seiner eigenen Tor-Service-Website gehostet hat. Diese wurde schnell entfernt und ist nicht mehr über das Tor-Netzwerk verfügbar.

Eine Webseite, die in einem Browser angezeigt wird und die Nachricht 'Don't do crime CRIME IS BAD' mit einem Link zum Herunterladen einer Datei namens 'panel0_dump.zip' enthält. Der Hintergrund ist leer. — Abbildung 1 - Lockbit-Zwiebel-URL

Was ist durchgesickert?

Die durchgesickerte Datenbank bietet einen seltenen, umfassenden Einblick in die Ransomware-as-a-Service (RaaS)-Aktivitäten von LockBit. Die wichtigsten Komponenten sind:

BTC-Adressen - 59.975 Bitcoin-Wallets

Eine umfangreiche Tabelle, die eindeutige Bitcoin-Adressen zuordnet:
- advid (Partner-ID)
- target_id (wahrscheinliche Opfer- oder Kampagnen-ID)
Ermöglicht eine direkte Korrelation zwischen angeschlossenen Unternehmen und Lösegeldzahlungen.
Ideal für die Blockchain-Analyse und die Verfolgung krimineller Infrastrukturen

Builds - Datensätze zur Erstellung der Nutzlast

Enthält Aufzeichnungen über einzelne Ransomware-Builds die von angeschlossenen Unternehmen generiert werden.
Die Felder umfassen:
Partneridentifikatoren (implizit in der Verknüpfung)

Konfigurationen erstellen - Ransomware-Anpassung

Speichert Konfigurationsflags pro Build:
- Welche zu verschlüsselnde Dateien
- Welche ESXi-Server zu vermeiden (zur Tarnung oder zum Anvisieren)
- Optionale Persistenz, Dateitypen, Kill-Switches
Höhepunkte LockBit's modulare Nutzlastarchitektur.

Chats - 4.442 Verhandlungsnachrichten

Eine Reihe von Protokollen von Lösegeldverhandlungen zwischen Opfern und angeschlossenen Unternehmen.
Für den Zeitraum vom 19. Dezember 2024 bis zum 29. April
Zeigt Verhaltensmuster, Verhandlungsstrategien und manchmal auch emotionale Manipulation durch die Betreiber auf.

Einblicke in LockBit's Affiliate-Infrastruktur

Bei unserer Analyse haben wir die von LockBit genutzte Affiliate-Infrastruktur in dem Datenleck aufgedeckt. Diese “Builds”-Tabelle dient als Protokoll jeder erzeugten Ransomware-Nutzlast über das LockBit-Partner-Panel.

Abbildung 2 - Flussdiagramm der Nutzlast

Jedes vom Builder generierte Beispiel wird im JSON-Format gespeichert, sodass die Partner ihre Einträge direkt im Builder-Bedienfeld anpassen können. Sobald die Änderungen, wie in den vorherigen Schritten beschrieben, bestätigt wurden, werden die Informationen sicher im Backend gespeichert, um die Nutzlast zu erstellen. Dieser Payload enthält wichtige Details, einschließlich der ID, des Ziels und der Einnahmen, die entweder angegeben werden können oder die beabsichtigte Lösegeldforderung darstellen - es handelt sich nicht um eine aufgezeichnete Zahlung.

Operative Funktionen in Build-Konfigurationen

Die bereitgestellten Felder bieten detaillierte Konfigurationsoptionen für LockBits-Mitglieder, die eine genaue Kontrolle über die Ausführung von Ransomware auf Zielsystemen ermöglichen. Unsere Analyse zeigt, dass diese Aktivität in einer Tabelle mit dem Titel “build_configurations” dokumentiert wird. Das System ist auf Modularität und betriebliche Flexibilität ausgelegt, wobei die Funktionen von Stealth-Optionen wie “quiet_mode” bis zu Bereinigungsprozessen nach der Infektion wie “delete_decrypter” reichen. Diese Struktur deutet darauf hin, dass der Schwerpunkt auf der gezielten Ansprache von Partnern liegt.

Feld	Beispielwert	Zweck/Verhalten
Kommentar	“unternehmen_ziel“	Interne Bezeichnung, die vom Partner verwendet wird, in der Regel ein Opfername oder eine Kampagnenreferenz.
unternehmen_website	Beispiel.com	Die Domäne des Opfers, manchmal real, aber oft ein Test.
Umsatz	“15kk“	Erklärte Lösegeldforderung - keine bestätigte oder bestätigte Zahlung.
Benutzerkennung	25	Interne Partner-ID, die für alle Builds verwendet wird.
erstellt_am	“2024-12-18 20:05:23”	Zeitstempel der Erzeugung der Nutzlast.
master_pubkey	(lange base64-Zeichenkette)	Öffentlicher Schlüssel für die Dateiverschlüsselung, der für jeden Build einzigartig ist.
master_privkey	(lange base64-Zeichenkette)	Privater Schlüssel für den Entschlüsseler, der wahrscheinlich erst nach Zahlung freigegeben wird.
verschlüsselte_website	(verschlüsselter Blob)	Enthält möglicherweise C2-, Leckstellen- oder interne Konfigurationsdaten.
delete_decrypter	wahr / falsch	Wenn ja, wird der Entschlüsseler nach der Infektion entfernt.
ruhiger_modus	“0” / “1”	Unterdrückt wahrscheinlich die Ausgabe der Ausführung oder die Fehlerprotokollierung.
not_randomize_keys	“0” / “1”	Legt fest, ob die Verschlüsselungsschlüssel pro Datei randomisiert oder pro Nutzlast statisch sind.
laufend_eins	“1” / “0”	Weist möglicherweise auf den Modus “einmal ausführen” oder eine einzelne Ausführungsinstanz hin.
Typ	25, 18 usw.	Variante oder Profiltyp - wirkt sich auf die Struktur der Nutzdaten und/oder die Verschlüsselungslogik aus.
Schlüssel_id	0 / Ganzzahlig	Könnte auf das interne Schlüsselverwaltungssystem verweisen.
stealerid	NULL / Ganzzahlig	Kann mit der Aufnahme eines Credential Stealer-Moduls verbunden sein.
max_file_size	NULL / z.B. 52428800	Begrenzt die Verschlüsselung auf Dateien, die eine bestimmte Größe nicht überschreiten, z. B. Dateien mit einer Größe von über 50 MB werden übersprungen.

Verwendung von Tor für die operative Sicherheit

Die Verwendung von Tor durch LockBit ist eine bewusste OPSEC-Entscheidung (operative Sicherheit). Durch die Nutzung des Tor-Netzwerks profitieren die Betreiber von LockBit von einer starken Anonymität und einer Verschleierung des Routings, die es ihnen ermöglicht, ihre Infrastruktur und Kommunikation vor den Strafverfolgungsbehörden zu verbergen. Im Gegensatz zu Websites im traditionellen World Wide Web, die schnell beschlagnahmt oder mit einem ordentlichen Gerichtsverfahren abgeschaltet werden können, sind Tor-basierte (.onion) Websites viel widerstandsfähiger. Dies ermöglicht es LockBit, Erpressungsportale, Leck-Seiten und Kommunikationsknotenpunkte zu hosten, die sogar unter weltweiter Beobachtung bestehen bleiben, was Tor zu einem wichtigen Teil ihrer cyberkriminellen Infrastruktur macht.

Einige der interessanten Domains von LockBit zeigen die Seite der Gruppe, auf der sie wie ein funktionierendes Unternehmen agiert. Bei der Durchsicht einiger Onion-Sites, die auf dem Dump entdeckt wurden, fanden wir eine Seite, auf der LockBit Sicherheitsforschern oder anderen Personen, die Schwachstellen in ihrer Infrastruktur entdecken können, eine Belohnung für Fehler anbietet. Eine umfassende Liste der Onion-Domänen finden Sie unter "Indicators of Compromise".

Eine Webseite mit dem Titel 'Web Security Bug Bounty' mit einer auffälligen roten Kopfzeile und einem Text, der ein Bug-Bounty-Programm beschreibt, das Sicherheitsforscher und Hacker zur Teilnahme einlädt, wobei die Höhe der Vergütung angegeben wird.

Erklärte Lösegeldforderungen durch Affiliates

Die Partner von LockBit geben ihre geschätzten Lösegeldforderungen während des Generierungsprozesses der Nutzlast manuell ein. Diese Einträge geben einen Einblick in die Zielsetzung der einzelnen Partner, ihre Preisstrategien und sogar ihre internen Praktiken. Obwohl diese Daten nicht finanziell verifiziert wurden, bieten sie wertvolle Einblicke in die wirtschaftliche Denkweise von Ransomware-Betreibern, die im Rahmen des LockBit-Affiliate-Modells tätig sind.

Ein Balkendiagramm, das die Top 10 der LockBit-Partner nach angegebenen Lösegeldforderungen zeigt. Das Diagramm listet die Partner nach ID auf der x-Achse und den angegebenen Umsatz in Millionen USD auf der y-Achse auf, wobei Partner 25 den höchsten Umsatz aufweist. — Abbildung 5 - Die 10 wichtigsten Lockbit-Affiliates nach gemeldeten Lösegeldforderungen

Wir haben die Originaldaten gefiltert, weil wir bei unserer Analyse einige übertriebene Lösegeldforderungen unter “Einnahmen“ entdeckt haben, die den folgenden ähneln:

“999kk” - $99,9 Millionen

“303kkk” - $303 Millionen

“100kkk” - $100 Millionen

Sie wirkten eher wie Platzhalter oder potenzielle Testeinträge, die nicht glaubwürdig erschienen. Selbst wenn dies echte Einträge sind, gibt es keine Beweise in dem durchgesickerten Panel dass diese Forderungen jemals an echte Opfer gestellt, geschweige denn bezahlt wurden.

Top-Affiliates nach voraussichtlich realistischen Anforderungen

HINWEIS: Diese sind noch von Partnern eingegebene Schätzungen, nicht bestätigte Lösegeldforderungen oder Zahlungen.

Partner-ID	Gesamteinnahmen	Durchschnittliches Lösegeld	Anzahl der gültigen Builds
14	$168.8M	$42.2M	4 Bauten
2	$161.9M	$4.9M	33 Bauten
70	$153.7M	$1.45M	106 Bauten
16	$105M	$35M	3 Bauten
18	$103.2M	$8.6M	12 Bauten

Finanzieller Umfang von LockBit - basierend auf diesen Daten

Einblicke in Lösegeldzahlungen

Metrisch	Zählen Sie
Opfer insgesamt (Kunden)	246
Opfer, die Lösegeld bezahlt haben	7
Opfer mit Entschlüsselung (decrypt_done)	0

Bei ~2,8% der Opfer ist die “paid_commission größer als 0”, was wahrscheinlich auf eine erfolgreiche Lösegeldzahlung hindeutet.
Keine zeigt “decrypt_done größer als 0”, was bedeuten könnte:
- Das Entschlüsselungskennzeichen wurde im Dump nicht aktualisiert.
- Oder die tatsächliche Entschlüsselung erfolgte nicht über die Systemlogik.

Zusammengefasst, keines der Opfer im Datensatz wurden als Empfänger eines Entschlüsselungstools registriert. Diese Informationen sind jedoch möglicherweise nicht ganz korrekt, da LockBit behauptet, ein Entschlüsselungstool anzubieten, das sie auch bereitstellen.

Was wir kann bestätigen.

Das Feld “paid_commission” ist eine ganze Zahl.
Der Standardwert ist laut Schema “0”:

bezahlte_provision` int(11) NOT NULL DEFAULT 0

Unter 7 von 246 Zeilen, wurde dieser Wert geändert in größer als 0.

HINWEIS: Dies ist noch kein Zahlungsnachweis allein aus diesen Daten!

Was wir kann nicht bestätigen.

Wir kann nicht behaupten, dass “paid_commission > 0“ bedeutet, dass die Opfer bezahlt das Lösegeld. Hier ist der Grund dafür:

Dieser Wert bestätigt nur, dass LockBit eine Provision als an einen Partner gezahlt markiert hat.
Allerdings kann die Zahlung auf der Opferseite haben:
- Bezahlt wurde, ohne in dieser Tabelle erfasst zu werden.
- Es wurden Zahlungen geleistet, die jedoch nie zu einer Vergütung der Partner führten.
- Wurde zu Testzwecken simuliert, wenn dieser Datensatz ein Entwicklungs-/Test-Snapshot ist.

Mit Partnern verhandeln: Die menschliche Seite

Menschliche Töne in feindlichen Gesprächen

Während unserer Analyse der spezifischen “Chat”-Unterhaltungen, die im Dump aufgelistet wurden, beobachteten wir mehrere verschiedene Arten von Tönen von Affiliates. Sie können sagen, es gab erhebliche Unterschiede in den Gesprächen, wo einige Partner waren aggressiv und würde nicht berücksichtigen, wenn sie fordern, in BTC oder XMR bezahlt werden.

Geht von formellen Mitteilungen zu aggressivem Verhalten über, wenn ein Opfer versucht, einen Preisnachlass zu erhalten oder die Dinge zu erschweren.
Direkt auf den Punkt gebracht und kein Raum für Diskussionen.

Das Opfer: "Wir sind ein kleines Unternehmen, wir können nicht so viel bezahlen"."

LockBit: "Ihre Größe ist unerheblich. Ihre Daten sind wertvoll."

Hier finden Sie weitere Beispiele aus den Gesprächen:

“Ist mir egal”-Aggression
Ultimatum der Frist

Zeitstempel: 2024-12-23 17:20:25

Es ist mir egal, ob Sie mich bezahlen oder nicht, ich werde nicht mehr über Rabatte sprechen.

Wenn Sie keine Entscheidung treffen, wird der Preis morgen doppelt so hoch sein.

Plädoyer für einen niedrigeren Preis - Zeitstempel: 2024-12-20 10:55:51

Das Opfer: Ja, ich habe die Anzahl der Testdateien überprüft. Bitte senken Sie den Preis ein wenig.

Eine der interessanteren Nachrichten, die wir entdeckten, war etwas, das wie eine vordefinierte Fußnote an die Opfer aussah und einige interessante Zusammenhänge enthielt, die wir nur bei einer Nachricht an ein Opfer beobachtet haben, die wir bei unserer Analyse entdeckten. Von der Bedrohung zur Anwerbung.

Die Fußnotenmeldung gibt die verwendete Version von LockBit an: “(Version: LockBitBlack4.0-rc-001)”. Siehe die vollständige Fußnotenmeldung in “Anhang A”.”

In demselben Chatprotokoll können wir auch beobachten, wie der Partner befragt wird, was Bedenken hinsichtlich der Garantie für die Entschlüsselung der Daten weckt.

Partner: Sie müssen uns bezahlen.

Partner: 

- Was ist die Garantie dafür, dass wir Sie nicht betrügen werden? Wir sind die älteste Erpresserbande der Welt

- Betrachten Sie diese Situation einfach als eine bezahlte Schulung für Ihre Systemadministratoren.

- Gehen Sie nicht zur Polizei oder zum FBI. Sagen Sie es niemandem.

Ein Teil dieser Nachricht enthielt die folgende faszinierende Information in der vollständigen Fußnote. Die Nachricht dient dazu, Menschen in die Welt der Penetrationstests einzuführen und sie zur Teilnahme an dem Programm zu bewegen.

Übermittelte Nachricht (extrahiert aus LockBit Chat ID 433)

Sie wurden von LockBit 4.0 angegriffen - der schnellsten, stabilsten und unsterblichen Ransomware seit 2019.

- "Willst du einen Lamborghini, einen Ferrari und viele hübsche Mädchen? Melde dich an und beginne deine Reise zum Pentester-Milliardär in 5 Minuten mit uns."

Die Meldung gibt die spezifische Version von LockBit an, die verwendet wird: “(Version: LockBitBlack4.0-rc-001)”. Siehe die vollständige Fußnotenmeldung in “Anhang A”.”

Von Affiliates verwendete Taktiken

Auf der Grundlage von Nachrichtenmustern haben wir verschiedene Taktiken beobachtet, mit denen die Partner die Zahlung vorantreiben und sicherstellen wollen:

Standard-Taktiken:
- Zeitdrohungen (“noch 24 Stunden”)
- Reine Bitcoin-Zahlungen
- “Testdatei” zum Nachweis der Entschlüsselung
Psychologische Taktiken:
- Schuldgefühle: “Ihre Kunden werden leiden”
- Schande: “Du bist unverantwortlich”
- Dringlichkeit: “Tick-tack, der Timer läuft”

Operation Cronos

Im Jahr 2024 arbeiteten mehrere Strafverfolgungsbehörden zusammen, um LockBit zu Fall zu bringen, und im vergangenen Jahr hat die britische National Crime Agency die Infrastruktur der Gruppe infiltriert und übernahm die Kontrolle über seine Dienste und veröffentlichte eine Liste von Benutzernamen und Benutzer-IDs. LockBit hat sich jedoch durchgesetzt, und wir befinden uns nun in einer Situation, in der sie weiterhin operieren. Wir haben die Daten der britischen Wettbewerbsbehörde mit den in diesem Dump beobachteten Benutzer-IDs und Benutzernamen verglichen und Folgendes festgestellt.

Abbildung 6 - Operation Cronos

Beim Vergleich der Nutzernamen, die bei der Cronos-Operation beobachtet wurden, haben wir mehrere Nutzernamen in den durchgesickerten Daten entdeckt, die die Tätigkeit derselben Akteure bestätigen. Wie Sie unten sehen können, haben wir eine visuelle Darstellung der Top-10-LockBit-Benutzer nach Gesamt-Builds zusammengestellt.

Ein Balkendiagramm mit dem Titel 'Top 10 LockBit Users by Total Builds' zeigt Benutzernamen auf der x-Achse und Gesamt-Builds auf der y-Achse. Ashlin' hat mit über 100 die meisten Builds, gefolgt von 'Rich' und 'Melville' mit einer hohen Anzahl. Andere Benutzernamen wie 'Merrick', 'Harold', 'Vern', 'Burton', 'Oscar', 'Stanton' und 'Lyndsey' weisen unterschiedlich niedrige Gesamtzahlen auf.

Was wir daraus ziehen können:

Ashlin erzeugte mit großem Abstand die meisten Nutzlasten.
Reich, Melville, und Merrick folgten als hochvolumige Tochtergesellschaften.

Insgesamt gibt es hier eine umfassende Liste aller verlinkten Benutzernamen, die aus der NCA-Liste abgeleitet und dann mit dem durchgesickerten Datensatz abgeglichen wurde, um die Übereinstimmung dieser Benutzernamen zu zeigen.

Benutzer-ID	Benutzername
1	admin
2	Harold
5	William Guzman
6	David Ramsey
9	Howard Collins
10	Russell Preis
12	Vern
13	Mayer
14	Devyn
15	Burton
16	Ardell
17	Harley
18	Chad
19	Truman
21	Harper
24	Kennan
25	Melville
26	Bubet
27	Bailey
28	Reich
31	Charly
32	Oscar
33	Lyndsey
34	Oliver
35	Sherwin
36	JohnRembo
37	Darrel
40	Larry
42	Rufus
43	Ashlin
45	Salbei
46	BillieOLDDDDD
48	Davidson
51	Malin
52	Stanton
53	Carlo
54	Alston
55	Merrick
57	Huntley
58	Jeffly
59	Everlie
63	Libby
64	Hazel
65	Dorian
66	Rigby
67	Payden
69	Robert Martinez

Schlussfolgerung

Das LockBit-Leck hat einen außergewöhnlichen Einblick in die Arbeitsweise einer der erfolgreichsten und aktivsten Ransomware-Gruppen der Welt gewährt. Von Chat-Protokollen und Ransomware-Aufzeichnungen bis hin zu Affiliate-Konfigurationen und Lösegeldforderungen zeigen die Daten, dass LockBit sowohl gut organisiert als auch methodisch vorgeht. Die Partner spielen eine wichtige Rolle bei der Anpassung der Angriffe, der Forderung von Lösegeld und der Verhandlung mit den Opfern. Obwohl einige Zahlungen erfolgt zu sein scheinen, bleibt unklar, wie oft die Opfer tatsächlich funktionierende Entschlüsselungsprogramme erhalten haben. Insgesamt bestätigt das Leck, dass LockBit wie ein herkömmliches Unternehmen funktioniert, nur mit kriminellen Absichten im Kern.

Referenzen

Indikatoren für Kompromisse

Anhang A

(433, 36, 36, 112, 0, 1737142597, ‘yes i got this instructions from you\n~~~ You have been attacked by LockBit 4.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~\n\n>>>>> You must pay us.\n\nTor Browser Links BLOG, wo die gestohlenen Informationen veröffentlicht werden:\n( oft, um unsere Websites vor DDoS-Angriffen zu schützen, fügen wir ACCESS KEY - ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA )\nhttp://lockbit3753ekiocyo5epmpy6klmejchjtzddoekjlnt6mu3qh4de2id.onion/\nhttp://lockbit3g3ohd3katajf6zaehxz4h4cnhmz5t735zpltywhwpc6oy3id.onion/\nhttp://lockbit3olp7oetlc4tl5zydnoluphh7fvdt5oa6arcp2757r7xkutid.onion/\nhttp://lockbit435xk3ki62yun7z5nhwz6jyjdp2c64j5vge536if2eny3gtid.onion/\nhttp://lockbit4lahhluquhoka3t4spqym2m3dhe66d6lr337glmnlgg2nndad.onion/\nhttp://lockbit6knrauo3qafoksvl742vieqbujxw7rd6ofzdtapjb4rrawqad.onion/\nhttp://lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd.onion/\n\n>>>>> Was ist die Garantie, dass wir Sie nicht betrügen werden? \nWir sind die älteste Erpresserbande der Welt und nichts ist uns wichtiger als unser Ruf. Wir sind keine politisch motivierte Gruppe und wollen nichts anderes als finanzielle Belohnungen für unsere Arbeit. Wenn wir auch nur einen Kunden betrügen, werden andere Kunden uns nicht bezahlen. In 5 Jahren ist kein einziger Kunde unzufrieden gewesen, nachdem er ein Geschäft mit uns abgeschlossen hatte. Wenn Sie das Lösegeld bezahlen, werden wir alle Bedingungen erfüllen, die wir während des Verhandlungsprozesses vereinbart haben. Betrachten Sie diese Situation einfach als eine bezahlte Schulung für Ihre Systemadministratoren, denn es war die Fehlkonfiguration Ihres Unternehmensnetzwerks, die es uns ermöglicht hat, Sie anzugreifen. Unsere Pentesting-Dienste sollten auf die gleiche Weise bezahlt werden wie die Gehälter Ihrer Systemadministratoren. Weitere Informationen über uns erhalten Sie auf Elon Musks Twitter unter https://twitter.com/hashtag/lockbit?f=live.\n\n>>>>> Warnung! Löschen oder verändern Sie keine verschlüsselten Dateien, da dies zu irreversiblen Problemen bei der Entschlüsselung von Dateien führen wird!\n\n>>>>> Gehen Sie nicht zur Polizei oder zum FBI und erzählen Sie niemandem, dass wir Sie angegriffen haben. Sie werden Ihnen die Zahlung des Lösegelds verbieten und Ihnen in keiner Weise helfen, Sie werden mit verschlüsselten Dateien dastehen und Ihr Unternehmen wird sterben.\n\n>>>>> Sie beim Kauf von Bitcoin niemandem den wahren Zweck des Kaufs mitteilen. Einige Broker, vor allem in den USA, erlauben Ihnen nicht, Bitcoin zu kaufen, um Lösegeld zu bezahlen. Teilen Sie jeden anderen Grund für den Kauf mit, wie z. B.: persönliche Investition in Kryptowährung, Bitcoin als Geschenk, Zahlung für den Kauf von Vermögenswerten für Ihr Unternehmen mit Bitcoin, Kryptowährungszahlung für Beratungsdienste, Kryptowährungszahlung für andere Dienstleistungen, Kryptowährungsspenden, Kryptowährungsspenden für Donald Trump, um die Wahl zu gewinnen, Kauf von Bitcoin, um an ICO teilzunehmen und andere Kryptowährungen zu kaufen, Kauf von Kryptowährungen, um ein Erbe für Ihre Kinder zu hinterlassen, oder jeder andere Zweck für den Kauf von Kryptowährung. Sie können auch angemessene Kryptowährungsmakler verwenden, die keine Fragen stellen, wofür Sie Kryptowährung kaufen.\n\n>>>>> Nachdem Sie Kryptowährung von einem Makler gekauft haben, speichern Sie die Kryptowährung auf einer kalten Geldbörse, wie https://electrum.org/ oder einer anderen kalten Kryptowährungsgeldbörse, mehr Details auf https://bitcoin.org Indem Sie das Lösegeld von Ihrer persönlichen kalten Kryptowährungs-Wallet bezahlen, vermeiden Sie jegliche Probleme mit Regulierungsbehörden, der Polizei und Brokern.\n\n>>>>> Sie keine Angst vor rechtlichen Konsequenzen, Sie hatten große Angst, deshalb haben Sie alle unsere Anweisungen befolgt, es ist nicht Ihre Schuld, wenn Sie große Angst haben. Nicht ein einziges Unternehmen, das uns bezahlt hat, hatte Probleme. Jegliche Ausreden sind nur dazu da, dass die Versicherungsgesellschaft ihre Verpflichtungen nicht erfüllt.\n\n>>>>> Sie müssen uns über TOR-Darknet-Seiten mit Ihrer persönlichen ID kontaktieren.\n\nLaden Sie den Tor-Browser herunter und installieren Sie ihn https://www.torproject.org/\nSchreiben Sie in den Chat-Raum und warten Sie auf eine Antwort, wir garantieren Ihnen eine Antwort von uns. Wenn du eine eindeutige ID für die Korrespondenz mit uns brauchst, die niemand kennt, frage im Chat danach, wir werden einen geheimen Chat für dich generieren und dir die ID über einen privaten Einmal-Memoservice geben, niemand außer dir kann diese ID herausfinden. Manchmal müssen Sie einige Zeit auf unsere Antwort warten, das liegt daran, dass wir eine Menge Arbeit haben und wir Hunderte von Unternehmen auf der ganzen Welt angreifen.\n\nTor Browser persönlichen Link für CHAT nur für Sie verfügbar: \n( um unsere Webseiten vor ddos Angriffen zu schützen, fügen wir oft ACCESS KEY - ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA )\nhttp://rbuqsricjycmlv4hkh6cuwpefhgzzgthhxr2ackqwnv2ex23yqkfmuqd.onion\n\nTor Browser Links for CHAT \n( um unsere Websites vor DDoS-Angriffen zu schützen, fügen wir oft ACCESS KEY - ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA )\nhttp://lockbitspyakyequybgwgwauhzqxx7ba2gh3lmlj3zyeuaknrexdzfid.onion\nhttp://lockbitspxmqqfi6bw4y7f5psnpoaakhlisdx33busmnpgtimart5fad.onion\nhttp://lockbitspxgtf65ej7uu5h7qtephbevcsc2sk2brxzmt754etrrzhdqd.onion\nhttp://lockbitspudgjptrzadjzi7b4n2nw3yq6aqqqqw6wbrrjkr2ffuhkhyd.onion\nhttp://lockbitsptqsmaf56cmo7bieqwh5htlsfkodpahsaurxlquoz67zwrad.onion\n\n Ihre persönliche Kennung zur Kommunikation mit uns ID: 4D4D171AFC1FAE706B6C6E6F70717273 <<<< Willst du einen Lamborghini, einen Ferrari und viele hübsche Mädchen? Melden Sie sich an und beginnen Sie Ihre Reise zum Pentester-Milliardär in 5 Minuten mit uns.\n( oft, um unsere Websites vor DDoS-Angriffen zu schützen, fügen wir ACCESS KEY - ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA )\nhttp://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion\nhttp://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion\nhttp://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion\nhttp://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion\nhttp://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion\n\nVersion: LockBitBlack4.0-rc-001\n\n’, 0, NULL, NULL, 1, ’2025-01-17 19:36:37’, NULL, ’2025-01-17 19:36:45’),

Artikel von

Rhys Downing

Bedrohungsforscher

Rhys ist ein Bedrohungsforscher bei Ontinue. Rhys begann seine Karriere im IT-Bereich als Techniker, wo er die Welt der Cybersicherheit entdeckte. Schließlich entschied er sich, sein Studium im Bereich Cybersecurity abzuschließen, und erhielt 2021 seine erste Stelle als Analyst bei SOC.

Er sagte, dass er sich am meisten für Sicherheit interessiert, wenn es um Malware geht. Er liebt es, sie zu analysieren und aufzuschlüsseln, um ihre Fähigkeiten aufzudecken.

Schlüsselwörter