In der vergangenen Woche wurden weltweit 204 neue Ransomware- und Data-Exfiltration-Opfer registriert, davon 15 in der DACH-Region. Besonders ins Auge fällt erneut die Gruppe Safepay, die am 05.12. gleich sechs deutsche Unternehmen auf ihrer Wall of Shame veröffentlichte.
Die Hauptrolle dieser Woche spielt jedoch eine andere Gruppe: Lockbit. Die Ransomwaregang ist vergangenen Freitag mit der neuen Version 5.0 zurückgekehrt – und hat in den letzten Tagen bereits 20 Unternehmen auf ihrer neuen Leak-Seite veröffentlicht. Die meisten Opfer stammen aus den USA, bislang kein bestätigter Fall aus der DACH-Region.
Laut Trend Micro stellt Lockbit 5.0 eine massive Weiterentwicklung dar. Die neue Variante attackiert gleichzeitig Windows-, Linux- und VMware-ESXi-Systeme und wurde technisch deutlich verbessert, um Schutzmaßnahmen zu umgehen und Analysen zu erschweren. Die Windows-Version nutzt unter anderem DLL-Reflection, während die Linux-Variante gezielt bestimmte Verzeichnisse und Dateitypen angreift. Auf ESXi-Systemen kann Lockbit 5.0 virtuelle Maschinen verschlüsseln und durch zufällige Dateiendungen die Wiederherstellung stark erschweren.
Durch diese plattformübergreifende Architektur ist die Ransomware in der Lage, komplette Unternehmensnetzwerke lahmzulegen. Trotz früherer internationaler Erfolge der Strafverfolgungsbehörden zeigt sich die Gruppe weiterhin äußerst widerstandsfähig, weshalb Experten dringend zu umfassenden Schutzmaßnahmen raten.
Parallel dazu sorgten mehrere internationale Datenleaks für Aufsehen: Bei Spirit Halloween sollen Mitarbeiterdaten und kritische Schwachstellen offengelegt worden sein. Beim SAS Institute behauptet ein Threat Actor, Source-Code und interne Website-Tools erbeutet zu haben. Auch bei Avidea, einer digitalen Plattform für Kfz-Schadenabwicklung, wurde ein Leak gemeldet – ebenfalls mit angeblichem Zugriff auf Source-Code. Bei American Pools & Spas wurden mehr als 500 GB interner Daten veröffentlicht, darunter Finanzunterlagen, interne E-Mails und Budgetdokumente. Marquis Software Solutions bestätigte zudem einen Sicherheitsvorfall, der mehrere Banken und Kreditgenossenschaften betrifft – inklusive der Offenlegung sensibler personenbezogener Daten wie Sozialversicherungs- und Steueridentifikationsnummern.
Auch aufseiten der Bedrohungsakteure gab es deutliche Bewegungen: Die Gruppe Bloody Wolf wurde erneut bei Angriffen auf staatliche Einrichtungen in Zentralasien beobachtet. Ihre Vorgehensweise umfasst gefälschte PDF-Dokumente, Spoofing staatlicher Domains sowie einen Java-Loader, der zur Installation von NetSupport RAT führt. Gleichzeitig setzt die Gruppe RomCom weiterhin auf den JavaScript-Loader SocGholish, um Nutzer über manipulierte Websites und gefälschte Chrome- oder Firefox-Updates zu infizieren. Dadurch konnten die Täter unter anderem Systemaufklärung betreiben und den Python-Backdoor VIPERTUNNEL platzieren.
09.12.2025
