Die berüchtigte Ransomware-Bande LockBit ist mit einer gefährlichen Neuauflage zurück – und bedroht erstmals ganze IT-Landschaften mit einem Schlag. LockBit 5.0, das seit September 2025 im Umlauf ist, kann parallel Windows-, Linux- und VMware-Systeme angreifen. Für Unternehmen bedeutet das: Ein einziger Schlag könnte das komplette Netzwerk lahmlegen.
Trotz eines internationalen Polizeischlags Anfang 2024 ist die Gruppe damit zurück und demonstriert erschreckende Resilienz. Die neue Version ist kein einfaches Rebranding, sondern ein massiver technischer Sprung. Sie soll Sicherheitssoftware effektiver umgehen und noch verheerendere Schäden anrichten.
Technische Evolution: Tarnkappe und Turbo-Verschlüsselung
Forscher, die die neue Variante analysiert haben, sprechen von einem deutlich gefährlicheren und schwerer aufzuspürenden Gegner. LockBit 5.0 setzt auf fortschrittliche Verschleierungstechniken, die die Erkennung durch Antivirenprogramme erschweren und die Analyse für Sicherheitsexperten verkomplizieren.
Passend zum Thema IT‑Sicherheit – viele Unternehmen unterschätzen, wie schnell moderne Ransomware ganze Netzwerke lahmlegt. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Angriffsvektoren, neue gesetzliche Vorgaben und praxisnahe Schutzmaßnahmen zusammen (EDR‑Strategien, Patch-Management, Backup‑Hygiene). Kompakte Checklisten und Handlungsempfehlungen helfen IT‑Leitern und Geschäftsführern, Risiken zu reduzieren, ohne große Zusatzkosten. Jetzt Cyber-Security-Guide kostenlos anfordern
Zu den Neuerungen zählt eine effizientere Verschlüsselungsroutine für schnelleren Schaden. Zudem löscht die Malware gezielt Infektionsmarker und nutzt zufällige, 16-stellige Dateiendungen, um signaturbasierte Erkennung auszutricksen. Die Windows-Variante lädt ihre schädliche Nutzlast über DLL-Reflection und beendet nach der Verschlüsselung Sicherheitsdienste, um ihre Spuren in den Systemprotokollen zu verwischen. Eine klare Ansage: Die Entwickler kennen die Abwehrmaßnahmen in Unternehmen genau und arbeiten gezielt an ihrer Umgehung.
Die größte Gefahr: Angriff auf alle Fronten gleichzeitig
Besonders alarmierend ist die nahtlose Cross-Plattform-Fähigkeit. Mit speziellen Programmen für Windows, Linux und vor allem VMware ESXi verfolgt LockBit eine Strategie der gleichzeitigen, flächendeckenden Attacke. Das ermöglicht es den assoziierten Cyberkriminellen, eine gesamte Organisation auf einen Schlag zu treffen – von Arbeitsplatzrechnern über Server bis hin zur virtuellen Infrastruktur im Rechenzentrum.
Die ESXi-Variante ist dabei besonders zerstörerisch. Sie ist darauf ausgelegt, virtuelle Maschinen gebündelt zu verschlüsseln und kann so den Kernbetrieb eines Unternehmens komplett zum Erliegen bringen. Die Linux-Version bietet flexible Kommandozeilen-Optionen für maßgeschneiderte Angriffe. Dieser vereinheitlichte Ansatz macht es Angreifern einfacher und erhöht das Potenzial für katastrophale Geschäftsunterbrechungen dramatisch.
Das comeback-starke Ransomware-as-a-Service-Modell
LockBit operiert nach dem Ransomware-as-a-Service (RaaS)-Prinzip. Die Gruppe stellt die Werkzeuge und die Infrastruktur zur Verfügung; assoziierte Kriminelle führen die Angriffe durch und teilen die Lösegelder. Der Launch von Version 5.0 ist Teil einer Strategie, dieses Partnernetzwerk nach der Schwächung durch „Operation Cronos“ neu zu beleben.
Um neue Partner anzulocken, hat die Gruppe laut Berichten die Einstiegshürden gesenkt. Dieses Comeback unterstreicht die zähe und anpassungsfähige Natur der RaaS-Ökonomie. Selbst nach schweren Schlägen der Strafverfolgungsbehörden können etablierte Marken wie LockBit mit mächtigeren Werkzeugen zurückkehren – eine stete Herausforderung für die Verteidiger.
Was können Unternehmen tun?
Die Ankunft von LockBit 5.0 markiert eine Phase erhöhten Risikos. Der Fokus auf ESXi-Server macht einen robusten Schutz virtualisierter Umgebungen zur absoluten Priorität. Experten empfehlen eine mehrschichtige Verteidigungsstrategie:
- Sofortiges Patchen aller Systeme.
- Absicherung von Fernzugangspunkten wie VPNs und RDP.
- Strikte Trennung von Hypervisor-Management-Netzwerken mit strengen Zugriffsbeschränkungen.
- Der Einsatz moderner Endpoint Detection and Response (EDR)-Lösungen.
- Regelmäßige Sicherheitsaudits und vor allem die Pflege offline gespeicherter Backups.
Die aggressive Evolution von Bedrohungen wie LockBit 5.0 bestätigt: Proaktive und umfassende Cybersicherheit ist im heutigen digitalen Umfeld überlebenswichtig. Wer jetzt nachlässig ist, könnte bald vor der Entscheidung stehen: Lösegeld zahlen oder im Datenchaos versinken.
PS: Übrigens – wer konkrete, sofort umsetzbare Maßnahmen sucht, findet im Gratis‑Report „Cyber Security Awareness Trends“ praxisnahe Anleitungen für Incident‑Response, EDR‑Rollout und Backup‑Strategien. Der Leitfaden erklärt, welche Schutzmaßnahmen priorisiert werden sollten und wie sich Angriffsflächen in virtualisierten Umgebungen schnell reduzieren lassen. Ideal für IT‑Verantwortliche, die ihr Risiko in den nächsten 30 Tagen deutlich senken wollen. Jetzt kostenlosen Cyber-Security-Report sichern
