Das Lockbit-Leak

Ein seltener Einblick in die Ransomware-Unterwelt

Von Renée van der Post & Sam Cantineau

Am 7. Mai 2025 tauchte etwas Außergewöhnliches im Darknet auf. Auf der Seite von LockBit, einer der berüchtigtsten Ransomware-Gruppen der Welt, erschien folgende Nachricht:

Mach keine Verbrechen. VERBRECHEN IST SCHLECHT. xoxo aus Prag.

Kurz darauf folgte ein massiver Datenleak: eine SQL-Datenbank voller interner Aufzeichnungen, darunter Chatprotokolle zwischen LockBit und seinen Opfern sowie sensible Details über die Arbeitsweise der Gruppe.

Für Cybersicherheitsexpertinnen und -experten bietet dieses Leak einen seltenen Einblick in das Innenleben eines hochorganisierten kriminellen Netzwerks. Bei Defenced haben wir uns tief in diese Daten eingegraben und praktische Erkenntnisse herausgefiltert, von denen Unternehmen direkt profitieren können. In diesem Blog führen wir dich durch die wichtigsten Erkenntnisse – und die Lehren, die sich daraus ziehen lassen.

WER IST LOCKBIT?

LockBit ist eine berüchtigte Ransomware-as-a-Service (RaaS)-Gruppe. Das bedeutet: Sie entwickeln die Technologie, stellen sie aber sogenannten „Partnern“ zur Verfügung – Subunternehmern, die die eigentlichen Angriffe ausführen und im Gegenzug einen Anteil an der Lösegeldzahlung erhalten. Seit ihrem Auftreten im Jahr 2019 hat LockBit Tausende Opfer gefordert und Schäden in Milliardenhöhe verursacht.

Das Ergebnis ist eine hochorganisierte Cyberbande mit klarer Struktur, interner Hierarchie und sogar einem Chat-System, das einem Kundendienst ähnelt – über das Opfer Lösegeldverhandlungen führen können. Bis jetzt galt LockBit als gut geölte Maschine. Doch dieses Datenleck zeigt: Selbst die ausgeklügeltsten Bedrohungsakteure sind nicht unantastbar.

DAS CHAOS VERSTEHEN: DIE CHATS STRUKTURIEREN

Der geleakte Datensatz enthielt Tausende einzelner Nachrichten aus Chatgesprächen zwischen Opfern und LockBit. Rohe Datenbankfelder wie clientid, flag, content und created_at lieferten für sich genommen kaum Einblick – geschweige denn einen Überblick.

Um LockBits Vorgehen wirklich zu verstehen, haben wir die Daten bereinigt, strukturiert und in ein nachvollziehbares Chatformat übertragen – ähnlich wie bei WhatsApp oder Signal.

Durch die chronologische Gruppierung der Nachrichten je Konversation, korrekte Dateibezeichnungen und visuelle Unterscheidung der Gesprächspartner konnten wir die Verhandlungsprozesse von Anfang bis Ende rekonstruieren. So entstanden nicht nur lesbare Dialoge, sondern auch wertvolle Einblicke: in LockBits Ansprache, Preisverhandlungen, technische Anweisungen und Verhandlungstaktiken.

Um das für Leserinnen und Leser greifbarer zu machen, haben wir Screenshots dieser Rekonstruktionen beigefügt. So bekommst du ein buchstäbliches Bild davon, wie eine Verhandlung mit einer Hackergruppe abläuft. Viele Gespräche waren überraschend höflich – fast schon „kundenfreundlich“.

HINTER DEN KULISSEN: WAS DIE CHATS ÜBER LOCKBIT VERRATEN

Sie verhandeln – und bieten Rabatte an

In den meisten Fällen geht die Initiative für eine Gegenofferte vom Opfer aus. Mitunter lässt sich das geforderte Lösegeld deutlich senken. In Chat 154 zum Beispiel fiel die Forderung von 120.000 auf 40.000 US-Dollar. Der Ton bleibt dabei auffallend höflich.

Man könnte fast meinen: „Sehr geehrter Kunde, wie hoch ist Ihr Budget?“

In Chat 36 sieht man, wie LockBit mit dem Opfer gemeinsam einen Test zur Entschlüsselung durchführt – und sich schließlich auf einen deutlichen Nachlass einlässt.

Chat 36

Da alle Zahlungen an LockBit per Bitcoin erfolgen, lassen sich die Lösegeldsummen über die öffentliche Blockchain nachvollziehen. In diesem konkreten Fall sehen wir zunächst eine Testzahlung über 10 US-Dollar. Kurz darauf werden die vollen 50.000 US-Dollar an LockBits Wallet überwiesen.

Unmittelbar danach wird der Decryptor – also die Entschlüsselungssoftware – über den Chat bereitgestellt, inklusive detaillierter Anweisungen zur Anwendung.

Tipp: Sensible Versicherungsunterlagen niemals auf leicht zugänglichen, gemeinsam genutzten Laufwerken speichern.

In Chat 241 fordert LockBit stolze 4,5 Millionen US-Dollar. Warum? In den erbeuteten Dokumenten fanden sie heraus, dass das betroffene Unternehmen über eine Cyberversicherung mit einer Deckungssumme von 5 Millionen verfügte.

Chat 241

Russische Opfer werden verschont

In drei Chats (130, 168 und 274) erhielten russische Opfer den Decryptor kostenlos. Interne Frustration wurde dabei deutlich: „Verdammt, der Subunternehmer hat ein RU-Ziel getroffen.“

Das deutet stark auf Verbindungen der Gruppe nach Russland hin – und auf eine inoffizielle Regel, keine inländischen Ziele anzugreifen.

LockBit hat eine klare interne Struktur

In mehreren Chats, etwa 158 und 168, wird deutlich, dass es innerhalb von LockBit eine Hierarchie gibt. Häufig ist vom „Boss“ die Rede – jener Person, die allein Zugriff auf die eigentlichen Entschlüsselungstools hat. Die LockBit-Operatoren scheinen klare Anweisungen zu befolgen und haben nur begrenzten Spielraum bei Preisnachlässen.

LockBit funktioniert wie ein echtes Unternehmen – nur eben ein kriminelles.

Chat 168

Chat 158

WIE VIEL ZAHLEN OPFER WIRKLICH?

Auch wenn Ransomware-Gruppen oft Millionenbeträge fordern, fällt die tatsächliche Zahlung häufig deutlich niedriger aus. Wir haben 208 Chats analysiert – in 18 davon konnten wir bestätigte Zahlungen nachweisen.

Durch die Kombination aus Lösegeldforderungen in Dollar und Bitcoin sowie der Möglichkeit, einige Zahlungen über die Blockchain zu verifizieren, konnten wir LockBits Verhandlungsstrategie genauer nachvollziehen.

Insgesamt konnten wir Zahlungen in Höhe von über 348.000 US-Dollar eindeutig nachweisen. Die tatsächliche Summe liegt jedoch mit Sicherheit deutlich höher – Schätzungen zufolge hat LockBit weltweit Hunderte Millionen erpresst.

Hier findest du eine Übersicht der gezahlten Lösegelder, inklusive ursprünglicher Forderungen und gewährter Rabatte:

Zentrale Erkenntnisse aus dem Leak

Diese geleakten Gespräche sind nicht nur spannend – sie enthalten auch wertvolle Einsichten. Bei Defenced haben wir eine große Zahl an Chats ausgewertet und fünf zentrale Lektionen herausgearbeitet:

Backups helfen nur, wenn sie auch funktionieren

Immer wieder zeigte sich: Die meisten Opfer hatten Backups – und zahlten trotzdem. Manchmal waren auch die Backups verschlüsselt, weil sie mit dem infizierten Netzwerk verbunden waren. In anderen Fällen war die Wiederherstellung zu zeitaufwendig oder technisch zu kompliziert – besonders unter dem Druck eines Betriebsstillstands. Deshalb gilt: Backups regelmäßig testen, offline lagern und einen aktuellen Notfallplan bereithalten.

Schnelle Entscheidungen sind entscheidend

Mehrere Chats zeigen, wie Opfer Rabatte verpassten – nur weil intern zu langsam reagiert wurde. Ransomware-Gruppen setzen oft Fristen, nach deren Ablauf der Preis steigt. In manchen Fällen kostete das Warten auf eine Freigabe durch den Vorstand oder juristischen Rat zehntausende Dollar. Deshalb: Vorab eine klare Strategie definieren. Wird verhandelt oder nicht? Wer entscheidet? Und wie schnell?

Kriminellen zu vertrauen ist keine Strategie

LockBit hielt in vielen Fällen sein Wort – stellte Decryptor-Tools bereit, löschte Daten, unterstützte bei der Wiederherstellung. Doch der Leak selbst beweist: Sie tun nicht immer, was sie versprechen. Chats, die angeblich gelöscht wurden, tauchten im Datensatz wieder auf. Jede „Zuverlässigkeit“ dient einem Zweck – sie ist strategisch, nicht moralisch. Professionalität darf nicht mit Integrität verwechselt werden.

Die Botschaft ist klar:

Grundlegende Sicherheitsmaßnahmen müssen vorhanden sein. Oft sind es die einfachsten Fehler, die ausgenutzt werden.

Cyber-Versicherung ist kein stiller Freifahrtschein

Einige Organisationen betrachteten ihre Versicherung als stille Rückfallebene – etwas, auf das man sich im Ernstfall heimlich verlassen kann. Doch LockBit liest gestohlene Dokumente sehr genau. In einem Fall entdeckten sie eine Cyber-Versicherungspolice und nutzten diese Information, um eine höhere Lösegeldforderung zu rechtfertigen. Sensible Unterlagen sollten niemals ungesichert auf gemeinsam genutzten Laufwerken oder offen zugänglichen Speicherorten liegen – besonders dann nicht, wenn Dritte oder ungeschützte Endgeräte Zugriff haben.

Einfache Fehler führen zum Einbruch

In vielen Chats erwähnen LockBit-Subunternehmer beiläufig, wie sie ins System gelangt sind: Standardpasswörter, veraltete Software oder offen erreichbare RDP-Ports. Das sind keine hochkomplexen Zero-Day-Angriffe – es handelt sich um einfache Versäumnisse in der IT-Hygiene. In einem Fall (Chat 213) musste das Opfer sogar extra zahlen, nur um zu erfahren, welche Schwachstelle überhaupt ausgenutzt wurde.

ABSCHLIESSENDE GEDANKEN: EIN EINZIGARTIGER EINBLICK MIT KLARER BOTSCHAFT

Der LockBit-Leak ist außergewöhnlich. Nicht nur, weil es selten vorkommt, dass eine Hackergruppe selbst Opfer eines Datenlecks wird – sondern weil er einen beispiellosen Einblick gibt, wie professionell organisiert und gewinnorientiert diese Gruppen tatsächlich arbeiten.

LockBit agiert wie ein Unternehmen – mit Support, Verhandlungstaktiken und internen Richtlinien – allerdings völlig außerhalb des Gesetzes.

Für uns bestätigt dieser Leak vor allem eines: Solche Vorfälle sind keine Frage des Ob, sondern des Wann. Nur Organisationen, die in Prävention, Sensibilisierung und eine gut vorbereitete Incident-Response-Strategie investieren, können diesen Bedrohungen selbstbewusst entgegentreten.

Kontaktiere uns

Neugierig, was wir sonst noch im Datensatz entdeckt haben? Oder möchtest du wissen, wie deine Organisation sich besser gegen Ransomware schützen kann? Nimm Kontakt mit Defenced auf – wir beraten dich gern persönlich. Bist du selbst im Bereich Cybersicherheit tätig und möchtest den geleakten Datensatz für eigene Analysen oder Forschungszwecke nutzen? Dann melde dich bei uns! Wir teilen unseren bereinigten und strukturierten Datensatz gern mit Fachkolleginnen und -kollegen, die zu einer sichereren digitalen Welt beitragen.

Kontakt