1.000 Dollar fürs LockBit-Tattoo

Hacker zahlen 1.000 USD, wenn Tattoo stechen lassen –

so arbeitet die Hackergruppe LockBit

1.000 US-Dollar dafür bekommen, sich ein Tattoo stechen zu lassen. Genau das bot die Ransomware-Gruppe LockBit an. Wer sich das eigene Logo tätowieren ließ und den Nachweis online veröffentlichte, konnte dafür bezahlt werden. Was zunächst wie ein absurder PR-Gag wirkt, ist in Wirklichkeit ein Hinweis darauf, wie diese Gruppe denkt und wie sie organisiert ist. Denn LockBit ist keine klassische Hackergruppe. LockBit funktionierte wie ein normales Unternehmen.

1. Ein kriminelles Franchise statt einer Hackergruppe

LockBit war eines der bekanntesten Beispiele für Ransomware-as-a-Service. Das Grundprinzip: Die eigentliche Gruppe entwickelt die Technologie und betreibt die Infrastruktur, während externe Partner, sogenannte „Affiliates“, die Angriffe durchführen.

Das Kernteam übernahm dabei die zentrale Rolle im Hintergrund. Es entwickelte die Ransomware kontinuierlich weiter, betrieb die Leak-Seiten zur Veröffentlichung gestohlener Daten und stellte eine komplette technische Umgebung bereit, über die Angriffe gesteuert werden konnten. Affiliates erhielten Zugriff auf ein eigenes Panel, über das sie ihre Kampagnen verwalten, Opfer organisieren und teilweise sogar Verhandlungen führen konnten. Die Aufgabenverteilung war klar:

  • Kernteam: Entwicklung der Malware, Betrieb der Infrastruktur, Bereitstellung der Plattform, Pflege der Marke
  • Affiliates: Zugang zu Zielsystemen, Durchführung der Angriffe, Datendiebstahl, Erpressung

Auch finanziell war das Modell eindeutig strukturiert. In vielen Fällen gingen rund 80 Prozent der Lösegelder an die Affiliates, während etwa 20 Prozent beim Kernteam verblieben. Dieses Modell machte LockBit extrem attraktiv für Angreifer: Wer bereits Zugang zu Netzwerken hatte oder diesen beschaffen konnte, musste keine eigene Ransomware mehr entwickeln. Das Ergebnis war Skalierung. LockBit konnte parallel über viele unabhängige Akteure operieren, ähnlich wie ein Franchise-System.

2. Struktur, Anreize und Arbeitsweise

Der Erfolg von LockBit lag nicht nur im Modell selbst, sondern in der konsequenten Umsetzung. Affiliates arbeiteten nicht improvisiert, sondern innerhalb einer klar strukturierten Umgebung. Die Gruppe stellte unter anderem bereit:

  • ein zentrales Control Panel zur Steuerung von Angriffen
  • automatisierte Erstellung individueller Ransomware-Varianten
  • eine Leak-Plattform zur Veröffentlichung gestohlener Daten
  • Kommunikationskanäle für Verhandlungen mit Opfern

Darüber hinaus setzte LockBit gezielt Anreize, um neue Affiliates anzuziehen und bestehende zu binden. Dazu gehörten nicht nur die Umsatzbeteiligung, sondern auch Mechanismen, die man eher aus der Software- oder Startup-Welt kennt:

  • ein Bug-Bounty-Programm mit hohen Prämien für Schwachstellen oder Verbesserungsvorschläge
  • öffentliche Selbstdarstellung als „professionelle“ Plattform
  • Marketing-Elemente wie die Tattoo-Aktion zur Stärkung der Marke

Die eigentliche Arbeitsweise folgte dabei einem wiederkehrenden Muster. Affiliates verschafften sich zunächst Zugriff auf Zielsysteme. Häufig über gestohlene Zugangsdaten, bekannte Schwachstellen oder den Kauf von Zugangsdaten in Untergrundforen. Anschließend wurden Daten exfiltriert, Systeme verschlüsselt und die Opfer unter Druck gesetzt. Entscheidend war dabei die sogenannte doppelte Erpressung:

  • Verschlüsselung der Systeme, um den Betrieb zu stören
  • Drohung, gestohlene Daten zu veröffentlichen

Die Leak-Seite spielte hierbei eine zentrale Rolle. Sie diente nicht nur als Druckmittel, sondern auch als Marketinginstrument, um weitere Opfer abzuschrecken und die eigene „Erfolgsquote“ sichtbar zu machen. Der Fokus lag nicht auf einzelnen, besonders komplexen Angriffen, sondern auf Effizienz und Wiederholbarkeit.

3. Erfolg durch Skalierung – und die Grenzen des Modells

Dieses Modell machte LockBit zeitweise zur produktivsten Ransomware-Operation weltweit. Durch die große Zahl an Affiliates konnte die Gruppe eine enorme Anzahl von Angriffen parallel durchführen. Mehr Partner bedeuteten mehr potenzielle Opfer, mehr Einnahmen und eine stärkere Präsenz im Cybercrime-Ökosystem. Doch genau diese Skalierung brachte auch Probleme mit sich. Je mehr unabhängige Akteure beteiligt sind, desto schwieriger wird es, Qualität und Kontrolle sicherzustellen. Ermittlungen und Auswertungen beschlagnahmter Daten zeigen, dass:

  • ein erheblicher Teil der Affiliates nie erfolgreich war
  • Angriffe stark in ihrer Qualität variierten
  • technische Umsetzung und Professionalität stark schwankten
  • Zusagen gegenüber Opfern, etwa funktionierende Entschlüsselung, nicht immer eingehalten wurden

Auch interne Regeln wurden offenbar nur begrenzt durchgesetzt. In einzelnen Fällen distanzierte sich LockBit öffentlich von bestimmten Angriffen, während beteiligte Affiliates weiterhin aktiv blieben. Nach außen wirkte LockBit wie ein professionell organisiertes Unternehmen mit klaren Strukturen und Prozessen. Intern war das System deutlich fragmentierter, opportunistischer und weniger kontrolliert, als es die eigene Darstellung vermuten ließ.

Fazit
Das Tattoo-Angebot ist kein kurioses Detail, sondern ein Symbol. Es zeigt, dass LockBit nicht nur als technische Plattform agierte, sondern bewusst als Marke auftrat; mit Wiedererkennung, Außenwirkung und Wachstumsstrategie. Die eigentliche Entwicklung liegt deshalb nicht in der Ransomware selbst. Sondern darin, dass Cyberkriminalität zunehmend wie ein Plattformgeschäft organisiert wird: mit Arbeitsteilung, Partnern, Anreizsystemen und Skalierung. Und genau das macht Gruppen wie LockBit so erfolgreich und gleichzeitig so schwer kontrollierbar.

Zurück
Bitte versuchen Sie es erneut.
Anti-Spam-Schutz
Bitte klicken Sie hier um zu bestätigen, dass Sie kein Robot sind.
Der Anti-Spam-Schutz konnte Sie erfolgreich verifizieren.
Danke, Sie können nun das Formular abschicken.
Bitte erlauben Sie aus Sicherheitsgründen Cookies für diese Website um das Formular zu nutzen.