LockBit 5.0: Comeback des Cybercrime-Giganten könnte Ransomware-Markt neu ordnen

Die Cybercrime-Szene erlebt ein paradoxes Phänomen: Während sich die Erpresser-Landschaft 2025 in ein Rekord-Hoch von 85 aktiven Gruppen zersplittert hat, droht ausgerechnet die Rückkehr des berüchtigten LockBit-Kartells, den Markt wieder unter einem Dach zu vereinen. Ein Comeback mit weitreichenden Folgen für Unternehmen weltweit.

Die Zahlen des aktuellen Check Point Research-Reports sprechen eine klare Sprache: Im dritten Quartal 2025 waren so viele Ransomware-Banden aktiv wie nie zuvor. Diese extreme Fragmentierung ist das direkte, wenn auch ungewollte Ergebnis erfolgreicher Polizeioperationen gegen große Syndikate. Doch während die Behörden Erfolge feiern, zeigt sich: Die Angriffswelle bleibt auf konstantem Rekordniveau mit rund 535 Opfern monatlich.

Die Bilanz des dritten Quartals 2025 liest sich wie ein Who’s Who des digitalen Untergrunds: 1.592 neue Opfer wurden über 85 verschiedene Leak-Seiten öffentlich gemacht – ein Plus von 25 Prozent gegenüber dem Vorjahreszeitraum. Allein im dritten Quartal gingen 14 neue Ransomware-Marken an den Start.

Passend zum Thema Ransomware und der aktuell hohen Angriffsrate (rund 535 Opfer pro Monat): Viele Unternehmen sind darauf nicht ausreichend vorbereitet. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen, neue KI‑Risiken und rechtliche Änderungen kompakt zusammen und liefert pragmatische Schutzmaßnahmen für Geschäftsführer und IT‑Verantwortliche — von priorisiertem Patch‑Management bis zu phishing‑resistenten MFA‑Strategien. Laden Sie sich den Leitfaden mit umsetzbaren Checklisten für Ihre Organisation herunter. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Der Marktanteil verschiebt sich dramatisch. Waren zu Jahresbeginn die Top 10 der aktivsten Gruppen noch für 71 Prozent aller veröffentlichten Opfer verantwortlich, sind es mittlerweile nur noch 56 Prozent. Diese Entwicklung macht die Arbeit für Sicherheitsexperten deutlich schwerer: Statt einiger dominanter Akteure müssen nun Dutzende kleinere Crews beobachtet werden.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt diese Entwicklung. Trotz Erfolgen gegen große Gruppen bleibt die IT-Sicherheitslage “angespannt” – neue Banden füllen entstandene Lücken binnen kürzester Zeit.

Im September 2025 war es offiziell: LockBit ist zurück. Der Administrator “LockBitSupp” hatte die Rückkehr nach der internationalen Zerschlagung im Frühjahr 2024 versprochen – nun macht er ernst. Die Version 5.0 kommt mit erheblichen technischen Verbesserungen daher.

Das neue Arsenal umfasst aktualisierte Varianten für Windows, Linux und ESXi-Systeme, schnellere Verschlüsselungsalgorithmen und verbesserte Tarnmechanismen. Bereits im ersten Monat traf die Kampagne mindestens ein Dutzend Organisationen. Die ersten Analysen zeigen: Die technische Reife und das Vertrauen der Affiliates sind zurück.

Warum ist das so gefährlich? Für Angreifer bietet eine etablierte Marke wie LockBit erhebliche Vorteile gegenüber kurzlebigen Kleinstoperationen. Opfer zahlen eher an bekannte Gruppen, weil sie glauben, tatsächlich einen funktionierenden Entschlüsselungskey zu erhalten. Sicherheitsanalysten befürchten: Gelingt es LockBit, frühere und neue Affiliates anzuziehen, könnte ein bedeutender Teil der Ransomware-Wirtschaft wieder zentralisiert werden.

Während LockBit Schlagzeilen macht, haben andere Gruppen die Marktturbulenzen genutzt. Die Qilin-Ransomware-Gruppe führt 2025 die Aktivitätsliste an – im dritten Quartal mit durchschnittlich 75 Opfern monatlich. Dahinter folgen Akira, INC Ransom und Play.

Besonders Akira erweist sich als hochprofessionell. Eine gemeinsame Cybersicherheitswarnung von US-amerikanischen und internationalen Behörden vom 13. November 2025 beschreibt die sich weiterentwickelnden Taktiken der Gruppe – darunter Tunneling-Tools zur Umgehung von Sicherheitsüberwachung. Die Bilanz ist erschreckend: Seit Ende September 2025 soll Akira rund 244 Millionen Euro (umgerechnet) erbeutet haben.

Diese Woche wurde zudem die neue “BAGAJAI”-Ransomware-Variante entdeckt, die auf starke Verschlüsselung und Datenerpressung setzt. Die Bedrohungslandschaft bleibt also hochdynamisch.

Der Hydra-Effekt: Aus eins mach viele

Die aktuelle Ransomware-Situation zeigt den klassischen “Hydra-Effekt”: Jeder Ermittlungserfolg gegen eine große Gruppe führt ungewollt zur Entstehung zahlreicher kleinerer, agilerer Nachfolger. Zerstreute Affiliates migrieren, gründen neue Brands oder schließen sich kleineren Crews an.

Hinzu kommt die zunehmende Professionalisierung der Cyberkriminalität. Laut aktueller Rapid7-Analyse kooperieren Ransomware-Syndikate mittlerweile, teilen Infrastruktur, Taktiken und sogar PR-Strategien, um ihren Einfluss zu erweitern. Die Zeiten des einsamen Hackers im Keller sind längst vorbei – Cybercrime funktioniert heute nach Konzern-Logik.

Beunruhigend: Kriminelle setzen verstärkt künstliche Intelligenz ein. Generative KI ermöglicht hochüberzeugende, automatisierte Phishing-Kampagnen im industriellen Maßstab. Das senkt die Einstiegsschwelle für weniger versierte Kriminelle dramatisch und erhöht das Risiko für Organisationen weiter.

Steht ein neuer Konsolidierungszyklus bevor?

Die Ransomware-Wirtschaft steht am Scheideweg. Die Zersplitterung des vergangenen Jahres hat ein chaotisches, unberechenbares Umfeld für Verteidiger geschaffen. Doch die Rückkehr von LockBit könnte das Pendel zurück zur Konsolidierung schwingen lassen.

Sollte eine große Marke erneut Dominanz erlangen, würde das einerseits wieder mehr Vorhersagbarkeit für Threat-Intelligence-Teams schaffen. Andererseits könnten koordinierte Großangriffe zurückkehren, die kleine Crews nicht stemmen können. Eine zweischneidige Entwicklung also.

Für Unternehmen bleibt die Kernbotschaft klar: Die grundlegende Bedrohung besteht fort und wird komplexer. Das hohe Angriffsvolumen, gepaart mit der ständigen Taktik-Evolution, erfordert robuste und anpassungsfähige Verteidigungsstrategien. Experten empfehlen dringend: beschleunigtes Patching bekannter Schwachstellen, umfassendes Attack-Surface-Management und die Durchsetzung phishing-resistenter Multifaktor-Authentifizierung.

Die Strafverfolgung mag Druck aufbauen – doch die strukturelle Widerstandsfähigkeit der Ransomware-Wirtschaft ist bewiesen. Diese Bedrohung wird auf absehbare Zeit kritisch bleiben.

PS: Die Bedrohung bleibt hoch — und präventive Maßnahmen zahlen sich aus. Dieser Gratis‑Leitfaden zeigt in klaren Schritten, wie Sie ohne große Investitionen Angriffsflächen reduzieren, effektives Patch‑Management implementieren und Ihre Mitarbeiter gegen KI‑gestützte Phishing‑Angriffe schulen. Ideal für Mittelständler und IT‑Leads, die sofort handeln wollen. Sichern Sie sich jetzt das kostenlose E‑Book und starten Sie konkrete Schutzmaßnahmen noch heute. Jetzt kostenlosen Cyber-Security-Leitfaden anfordern