In der Welt der Cyberkriminalität gehören Ransomware-Gruppen wie LockBit zu den berüchtigtsten Akteuren. Diese Gruppen nutzen verschlüsselte Erpressungssoftware, um Unternehmen und Privatpersonen zu erpressen und hohe Lösegelder in Kryptowährungen einzufordern. Bitcoin ist dabei die bevorzugte Zahlungsmethode, da es einen vergleichsweise hohen Grad an Anonymität und gleichzeitig sichere Transaktionen via Blockchain ermöglicht. Doch hinter der scheinbaren Anonymität versteckt sich ein komplexes Netzwerk an Wallets, über das diese Gelder verwaltet und verteilt werden. Die Nachverfolgung und Analyse dieser Wallets ist entscheidend, um besser zu verstehen, wie Cyberkriminelle agieren, und um mögliche Ansatzpunkte zur Bekämpfung aufzudecken.
Vor diesem Hintergrund stellt die Entwicklung eines spezialisierten Trackers zur Identifikation und Analyse der LockBit Bitcoin Wallets einen bedeutenden Fortschritt im Bereich der Cybersecurity dar. Der entwickelte LockBit Wallet Tracker umfasst mehr als 62.000 Bitcoin-Adressen, die mit der LockBit-Gruppe in Verbindung gebracht werden. Diese enorme Anzahl an Adressen spiegelt die Komplexität wider, mit der moderne Ransomware-Banden ihre finanziellen Spuren zu verwischen versuchen. Die Adressen sind in zwei Kategorien aufgeteilt: ungescannte Wallets und sogenannte „funded_wallets“, also aktiv genutzte und mit Bitcoins ausgestattete Wallets.
Die Unterscheidung ist maßgeblich, um ein realitätsnahes Bild der Geldflüsse zu erhalten und nicht bloß Adressen zu erfassen, die theoretisch zu LockBit gehören könnten, aber in der Praxis leer sind. Über den Einsatz öffentlicher APIs wie Blockchair werden diese Wallets regelmäßig auf ihre Transaktionsdaten hin überprüft, was es erlaubt, sowohl eingehende als auch ausgehende Geldbewegungen nachzuvollziehen. Der Fokus auf aktive, finanzierte Wallets ist deshalb so wichtig, weil sie tatsächlich als Umschlagplätze für Lösegelder fungieren. Zum Stand Mai 2025 sind insgesamt 28 Wallets als aktiviert und aktuell finanziert bestätigt worden. Die Gesamtmenge der dort gehaltenen Bitcoins beläuft sich auf etwa 5,03 BTC, was in der Summe mehrere Zehntausend Euro entspricht.
Diese Zahl kann je nach Kurs stark schwanken, verdeutlicht aber eindrucksvoll die Dimension des durch LockBit generierten illegalen Kapitals. Durch das regelmäßige Erfassen dieser Daten wird ein „Snapshot“ der momentanen Situation möglich, der als Basis für weiterführende Analysen dient. Der Nutzen eines solchen Trackers reicht weit über das bloße Sammeln von Adressen hinaus. Die umfassende Datensammlung unterstützt sowohl Ermittlungsbehörden als auch Sicherheitsforscher dabei, die Netzwerke zu verstehen, über die die Lösegelder bewegt werden. Indem man den Fluss von Bitcoins von einer Wallet zur nächsten verfolgt, können einzelne Knotenpunkte ermittelt werden, an denen Gelder zusammenlaufen oder verteilt werden.
Dies liefert potenzielle Ansatzpunkte für juristische Maßnahmen oder technische Interventionen, um die Aktivitäten zu unterbrechen. Neben den gewerblichen Ermittlungszwecken trägt der Tracker auch zu einer erhöhten Transparenz bei. Kryptowährungen werden oft als anonym angesehen, doch eigentlich sind sie pseudonym, denn jede Transaktion ist öffentlich einsehbar auf der Blockchain. Die Herausforderung besteht jedoch darin, die schiere Masse an Adressen und Transaktionen sinnvoll auszuwerten. Ein automatisierter Scanner, der systematisch tausende Adressen durchsucht und nach relevanten Kriterien filtert, ist daher unerlässlich, um der Informationsflut Herr zu werden und nutzbare Erkenntnisse zu gewinnen.
Wichtig zu erwähnen ist, dass der Tracker Open Source ist, was bedeutet, dass die gesamte Community der Cybersicherheitsforscher und interessierten Fachleute darauf zugreifen und mitarbeiten kann. Diese offene Herangehensweise fördert den Austausch von Wissen und die kontinuierliche Verbesserung der Analysemethoden. Zudem erhöht sie die Glaubwürdigkeit der Ergebnisse durch Transparenz des Codes und der Datengrundlage. Gleichzeitig wird dadurch eine breitere Überwachung ermöglicht, die auch unabhängig von einzelnen Organisationen funktioniert. Die dahinter stehende Methodik besteht darin, zunächst alle bekannten Bitcoin-Adressen, die mit der LockBit-Ransomware identifiziert wurden, in einer umfangreichen Liste zu sammeln.
Anschließend scannt der Tracker diese Liste auf Transaktionsaktivitäten, um fundierte Wallets von passiven Adressen zu unterscheiden. Dies ist besonders wichtig, da viele Adressen eigens für einzelne Transaktionen generiert werden und danach leer bleiben, was das Gesamtbild verfälschen könnte. Die konsolidierten Ergebnisse werden schließlich in formatierten CSV-Dateien gespeichert, die sowohl die vollständige Liste als auch die selektierten aktiven Wallets enthalten. Während der Prozess noch andauert, ist das Ziel, neben der momentanen Übersicht auch historische Daten aufzubereiten. Dazu zählt die Erfassung von Ein- und Auszahlungen im Zeitverlauf, was tiefere Einblicke in die Dynamik der Wallets ermöglicht.
Besonders interessant ist die Analyse der Muster, nach denen Gelder bewegt werden und wie lange sie in bestimmten Wallets verbleiben, bevor sie weitertransferiert werden. Solche Informationen eröffnen Perspektiven auf die interne Organisation der Geldflüsse und potenzielle Schwachstellen, beispielsweise wenn Gelder über qualitativ schlechter abgesicherte Adressen laufen. Die Veröffentlichung des Trackers und der damit verbundenen Forschungsdaten verändert die Art und Weise, wie die LockBit-Ransomware und deren Finanzmanagement verstanden werden kann. Zwar werden Ransomware-Gruppen konstant weiterentwickelt, und versuchen ihre Spuren besser zu verwischen, doch langfristig erlangt die Sicherheitsgemeinschaft durch solche Projekte einen Vorteil. Die Kombination von Technologie, Transparenz und kollektiver Anstrengung sorgt dafür, dass die Strafverfolgung in diesem Bereich immer wirkungsvoller werden kann.
