Rufen Sie uns an: +49 2361 9703777 Erreichbarkeit
Mo. - Fr.: 7.30 bis 18.00 Uhr
Schreiben Sie uns: info@zubIT.de Oder nutzen Sie unser Kontaktformular
zubIT QuickSupport Tool Jetzt herunterladen Schneller Support per Fernwartung.

LockBit 5.0: Neue Ransomware zielt auf Windows, Linux & ESXi

LockBit 5.0: Neue Ransomware zielt auf Windows, Linux & ESXi
Cyberangriffe haben in den vergangenen Jahren eine neue Qualität erreicht. Vor allem Ransomware – Schadsoftware, die Daten verschlüsselt und Lösegeld fordert – wird immer professioneller. Mit LockBit 5.0 präsentiert sich eine der gefährlichsten und am weitesten verbreiteten Ransomware-Familien in einer technisch hochentwickelten Version. Sie richtet sich nicht mehr nur an klassische Windows-Systeme, sondern nimmt zunehmend Linux-Server und VMware ESXi-Infrastrukturen ins Visier. Für Unternehmen ist dies ein klarer Weckruf, ihre Sicherheitsarchitekturen zu überprüfen und proaktiv zu handeln.

Was ist Ransomware – kurz erklärt

Ransomware ist eine spezielle Form von Schadsoftware, die Dateien und Systeme verschlüsselt und erst nach Zahlung eines Lösegelds („Ransom“) wieder freigibt – wenn überhaupt. Moderne Ransomware-Gruppen kombinieren diese Erpressung inzwischen mit Datenexfiltration: Sie drohen, gestohlene Daten zu veröffentlichen, wenn das Opfer nicht zahlt. Bekannte Beispiele sind WannaCry, REvil – und LockBit, das seit Jahren als einer der aktivsten Player im Cybercrime-Markt gilt.

LockBit 5.0: Die nächste Evolutionsstufe

Mit Version 5.0 hat die LockBit-Gruppe ihre Schadsoftware grundlegend überarbeitet. Laut einer aktuellen Analyse von Trend Micro wurden Architektur, Verschlüsselungsmechanismen und Tarntechniken so angepasst, dass die Malware noch flexibler, schneller und schwerer zu erkennen ist. Die Zielsysteme sind jetzt platt­form­über­greifend – ein Novum in dieser Ausprägung.

Technische Merkmale von LockBit 5.0

Die neue Version unterscheidet sich in mehreren Punkten von ihren Vorgängern:

  • Modularer Aufbau: Angreifer können Module für Verschlüsselung, Persistenz, Netzwerkausbreitung oder Anti-Analyse einzeln aktivieren. Das macht LockBit 5.0 extrem anpassungsfähig.
  • Hohe Tarnung: DLL Reflection, API Hashing, Code-Obfuskation und das Patchen von Event-Tracing-APIs erschweren klassische Erkennungsmethoden und Forensik.
  • Breite Plattformabdeckung: Separate Versionen existieren für Windows, Linux und ESXi. Besonders die ESXi-Variante kann Virtualisierungsinfrastrukturen auf Hypervisor-Ebene lahmlegen.
  • Gezielte Steuerung: In der Linux-Version können Administratorenbefehle gezielt Verzeichnisse, Dateitypen und Ausschlüsse definieren – ein Werkzeug für präzise Angriffe.
  • Geolokalisierung: Systeme mit russischer Spracheinstellung werden automatisch verschont – ein bekanntes Muster geopolitisch motivierter Cybergruppen.

So arbeitet LockBit 5.0 in der Praxis

Nach der Infektion eines Systems wird die Schadsoftware typischerweise von Affiliates eingesetzt, die mit der LockBit-Gruppe zusammenarbeiten. Der Angriff verläuft mehrstufig: Zunächst werden Zugänge über Phishing, gestohlene Credentials oder ungepatchte Schwachstellen erlangt. Danach folgt die seitliche Bewegung im Netzwerk (Lateral Movement), bevor schließlich Daten verschlüsselt und exfiltriert werden. Auffällig ist die Geschwindigkeit von LockBit 5.0 – besonders in ESXi-Umgebungen kann ein Angriff innerhalb von Minuten ganze virtuelle Maschinen verschlüsseln.

Indikatoren für Kompromittierung (IoCs)

Zu den von Trend Micro identifizierten Anzeichen einer LockBit-5.0-Infektion gehören:

  • Zufällig generierte Dateiendungen mit 16 Zeichen
  • Löschen von Windows-Ereignisprotokollen und Schattenkopien
  • Nutzung von PowerShell- und Batch-Skripten zur Persistenz
  • Automatische Beendigung der Ausführung auf russischsprachigen Systemen

Warum LockBit 5.0 so gefährlich ist

Die gezielte Angriffsstrategie auf virtuelle Infrastrukturen wie ESXi hebt LockBit 5.0 von vielen anderen Ransomware-Familien ab. Unternehmen, die auf Virtualisierung setzen, laufen Gefahr, dass innerhalb kürzester Zeit komplette Serverlandschaften verschlüsselt werden. Die modulare Struktur und plattformübergreifende Ausrichtung machen die Bekämpfung deutlich schwieriger als bei klassischen Windows-only-Ransomware-Angriffen.

Empfohlene Schutzmaßnahmen

Um sich gegen LockBit 5.0 zu wappnen, sollten Unternehmen mehrere Maßnahmen kombinieren:

  • Zero Trust umsetzen: Jede Verbindung – intern wie extern – muss authentifiziert und autorisiert werden.
  • Microsoft Defender for Endpoint nutzen: Moderne EDR/XDR-Lösungen erkennen verdächtige Aktivitäten plattformübergreifend.
  • Hypervisoren absichern: ESXi-Hosts dürfen nicht direkt aus dem Internet erreichbar sein. Zugriff nur via VPN und mit Multi-Faktor-Authentifizierung.
  • Patching priorisieren: Schwachstellen in Windows-, Linux- und ESXi-Systemen schnell schließen.
  • Backup-Strategie aktualisieren: Getrennte, regelmäßig getestete Backups auf offline oder immutable Medien vorhalten.
  • Awareness-Schulungen: Mitarbeiter regelmäßig zu Phishing, Credential-Diebstahl und Social Engineering schulen.

Fazit: Unternehmen müssen jetzt handeln

LockBit 5.0 markiert einen Wendepunkt in der Ransomware-Entwicklung. Sie zeigt, wie professionell Cybercrime-Gruppen inzwischen agieren und dass Virtualisierung und Cloud-Infrastrukturen längst im Visier sind. Unternehmen, die jetzt handeln, können ihre Risiken deutlich reduzieren. Dazu gehören moderne Zero-Trust-Architekturen, ganzheitliche Überwachung mit Microsoft Defender & Sentinel, konsequentes Patch-Management und robuste Backup-Konzepte.

Als zertifizierter Microsoft Solutions Partner unterstützt zubIT Unternehmen dabei, genau solche Sicherheitskonzepte umzusetzen. Mit erprobten Microsoft-Technologien, strategischer Beratung und praxisnaher Umsetzung helfen wir, Angriffe wie LockBit 5.0 abzuwehren – bevor Schaden entsteht.