LockBit 5.0 bedroht deutsche Unternehmen mit plattformübergreifenden Angriffen

Eine neue, hochgefährliche Version der Ransomware LockBit zielt gezielt auf Windows-, Linux- und VMware-Systeme gleichzeitig ab. Diese plattformübergreifende Fähigkeit stellt eine dramatische Eskalation der Cybergefahr dar und zwingt deutsche Firmen, ihre Sicherheitsstrategien komplett zu überdenken.

Trotz eines internationalen Polizeischlags im Februar 2024 ist die berüchtigte LockBit-Gruppe zurück – und technisch besser aufgestellt denn je. Sicherheitsforscher identifizierten die als „LockBit 5.0“ bekannte Variante erstmals im September 2025. Sie warnt vor einer gesteigerten Effizienz und einer Bedrohung, die nun das gesamte Spektrum moderner IT-Infrastrukturen erfasst.

Warum LockBit 5.0 eine neue Qualität der Bedrohung darstellt

Die größte Gefahr liegt in der gezielten Attacke auf heterogene Systemlandschaften. Während sich frühere Ransomware oft auf Windows konzentrierte, hat LockBit 5.0 nun dedizierte Baupläne für Windows, Linux und vor allem für VMware ESXi. Diese Virtualisierungsplattform bildet das Rückgrat unzähliger Rechenzentren. Ein erfolgreicher Angriff auf einen ESXi-Server kann Hunderte virtuelle Maschinen auf einmal lahmlegen – ein Albtraum für jeden Betrieb.

Passend zum Thema LockBit 5.0 – viele Unternehmen unterschätzen, wie schnell sich plattformübergreifende Ransomware ausbreitet. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, welche Schutzmaßnahmen heute Priorität haben: lückenloses Patch‑Management, konsequente Netzwerksegmentierung, Multi‑Faktor‑Authentifizierung und unveränderliche Backups. Dazu gibt es konkrete Checklisten für Mitarbeiter‑Sensibilisierung und Sofortmaßnahmen für kleine IT‑Teams. Ideal für Geschäftsführer und IT‑Verantwortliche, die ihre Abwehr jetzt stärken müssen. Jetzt Gratis‑E‑Book ‚Cyber Security Awareness Trends‘ herunterladen

Die Entwickler haben erhebliche Verbesserungen vorgenommen: Die Malware nutzt fortschrittliche Verschleierung, ist schneller bei der Verschlüsselung und kann Sicherheitsdienste deaktivieren. Sie verwischt zudem forensische Spuren. Das zeigt den Trend: Ransomware-Akteure passen ihre Taktiken ständig an, um Sicherheitsvorkehrungen und Strafverfolgung auszuhebeln.

So funktioniert der Angriff auf alle Systeme

Die Varianten sind präzise auf ihre Ziele zugeschnitten. Während die Linux-Version allgemeine Verzeichnisse wie /home ins Visier nimmt, fokussiert sich die ESXi-Version auf Hypervisor-Prozesse und kritische VM-Dateien (wie .vmdk). Diese Spezialisierung macht die Angriffe extrem effizient.

Einmal im Netzwerk, kann sich die Schadsoftware selbstständig verbreiten und die wertvollsten Assets verschlüsseln. Das Muster bleibt oft das der doppelten Erpressung: Daten werden nicht nur gesperrt, sondern auch gestohlen. Mit der Drohung der Veröffentlichung wird zusätzlicher Druck für die Lösegeldzahlung aufgebaut.

Ein Weckruf nach gescheitertem Polizeischlag

Das Comeback von LockBit nach der „Operation Cronos“ der Strafverfolger beweist: Rein reaktive Maßnahmen reichen nicht. Zwar wurden damals Server vom Netz genommen und Konten eingefroren, doch die Kernentwickler entkamen. Sie organisierten ihr Ransomware-as-a-Service (RaaS)-Geschäftsmodell neu und lizenzieren die Software weiter an Partner.

Für Unternehmen heißt das: Eine reine Windows-Sicherheitsstrategie ist obsolet. Die Bedrohung für Linux-Server und kritische Datenbanken ist real. Auch wenn frühere macOS-Versionen fehlerhaft waren, zeigt die Entwicklung die klare Absicht, alle Plattformen ins Visier zu nehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnt seit langem, die Ransomware-Gefahr nicht zu unterschätzen.

Was Unternehmen jetzt tun müssen

Experten erwarten eine steigende Angriffswelle mit LockBit 5.0. Proaktive Verteidigung ist daher überlebenswichtig. Zu den essenziellen Maßnahmen gehören:

• Lückenloses Patch-Management: Sicherheitsupdates für alle Systeme müssen zeitnah eingespielt werden.
• Konsequente Netzwerksegmentierung: Isolierte Zonen bremsen die Ausbreitung von Schadsoftware nach einem Eindringen.
• Multi-Faktor-Authentifizierung (MFA): Ein Muss für alle Zugänge, besonders für VPN und Administratorkonten.
• Unveränderliche Backups: Regelmäßige, getestete und offline oder WORM-geschützt gespeicherte Backups sind die letzte Rettungsleine.
• Sensibilisierung der Mitarbeiter: Phishing bleibt der häufigste Eintrittsvektor. Regelmäßige Trainings sind unverzichtbar.

Die Botschaft ist klar: Cyberkriminelle werden gezielter und ihre Angriffe weitreichender. Nur ein ganzheitlicher Sicherheitsansatz, der die gesamte IT-Landschaft im Blick hat, bietet wirksamen Schutz.

PS: Sie wollen Ihre IT‑Sicherheit schnell und ohne Budget‑Explosion verbessern? Im Gratis‑E‑Book „Cyber Security Awareness Trends“ finden Sie kompakte Umsetzungspläne, Beispiele aus der Praxis und eine Prioritätenliste, die speziell für KMU geeignet ist. Erfahren Sie, welche einfachen Schritte Angreifer oft ausschalten und wie Sie Ihre VMware‑ und Linux‑Server gezielt schützen können – inklusive Checkliste für Notfallwiederherstellung. Kostenloses Cyber‑Security‑Leitfaden jetzt anfordern