Angriffwarnung: lockbit5 zielt auf cadopt.com - FR
Introduction
Am 7. Dezember 2025 reihte sich der französische CAD/PLM-Softwarehersteller cadopt.com in die Liste der Opfer der Lockbit5-Ransomware-Gruppe ein. Dieser Angriff, der gemäß unserem XC-Classify-Protokoll als SIGNAL eingestuft wurde, betraf ein KMU mit 10 bis 50 Mitarbeitern, das sich auf die Verwaltung sensibler industrieller technischer Daten und des geistigen Eigentums seiner Kunden spezialisiert hat. Mit einem Umsatz von 2 Millionen Euro stellt cadopt.com ein strategisches Ziel im französischen Softwaresektor dar, wo selbst kleinste Datenlecks jahrelange Entwicklung und das Vertrauen von Industriepartnern gefährden können.
Dieser Cyberangriff erfolgt zu einem Zeitpunkt, an dem Cyberkriminelle verstärkt KMU im Technologiesektor ins Visier nehmen, die oft weniger gut gegen Ransomware-Bedrohungen gewappnet sind als Großunternehmen. Die Offenlegung technischer Daten und des geistigen Eigentums in der CAD/PLM-Branche wirft kritische Fragen zum Schutz strategischer digitaler Assets auf. Softwareunternehmen in Frankreich müssen diesen Vorfall als Weckruf verstehen, insbesondere diejenigen, die vertrauliche Kundendaten verwalten.
Analyse détaillée
Der Vorfall unterstreicht die anhaltende Verbreitung des von lockbit5 ausgenutzten Ransomware-as-a-Service-Modells (RaaS), das es Partnern ermöglicht, gezielte Erpressungskampagnen durchzuführen. Die Kompromittierung, zertifiziert auf der Polygon-Blockchain mittels unseres XC-Audit-Protokolls, bietet im Gegensatz zu herkömmlichen zentralisierten Verifizierungssystemen eine unveränderliche Nachverfolgbarkeit der Beweise.
lockbit5 gehört zu einer wachsenden Gruppe von Cyberkriminellen, die nach dem Ransomware-as-a-Service-Modell (RaaS) operieren – einer Struktur, die den Zugang zu digitalen Erpressungswerkzeugen demokratisiert. Diese Gruppe, die 2025 aktiv war, bietet Partnern eine schlüsselfertige Plattform inklusive Verschlüsselungs-Malware, Zahlungsinfrastruktur und technischem Support im Austausch gegen eine Provision auf die eingetriebenen Lösegelder.
Die Vorgehensweise von lockbit5 basiert auf doppelter Erpressung: Zunächst werden die Systeme des Opfers verschlüsselt und anschließend sensible Daten exfiltriert. Diese Taktik maximiert den Druck auf kompromittierte Organisationen, die sowohl mit Betriebsunterbrechungen als auch mit der Gefahr der Veröffentlichung vertraulicher Informationen konfrontiert sind. Angreifer nutzen typischerweise ungepatchte Sicherheitslücken, schlecht gesicherte RDP-Zugänge oder gezielte Phishing-Kampagnen als erste Einfallstore.
Die jüngsten Aktivitäten des Cyberkriminellen-Kollektivs zeigen eine opportunistische Vorgehensweise, die sowohl KMU als auch Großunternehmen betrifft. Das RaaS-Modell ermöglicht es lockbit5, die Zahl seiner Opfer zu vervielfachen, ohne eine umfangreiche operative Infrastruktur zu benötigen, da jedes Mitglied seine eigenen Kampagnen entsprechend seinen technischen Möglichkeiten durchführt. Diese Dezentralisierung erschwert den Behörden die Zuordnung und Zerschlagung der Aktivitäten erheblich.
Die bisherigen Opfer von lockbit5 stammen aus verschiedenen geografischen und Branchen, was die für RaaS-Operationen charakteristische fehlende Branchenselektion widerspiegelt. Die Angreifer priorisieren Ziele mit vermeintlich ausreichender Zahlungsfähigkeit und ausnutzbaren Sicherheitslücken anstatt einer bestimmten Branche. Dieser pragmatische Ansatz maximiert den Return on Investment für die Programmpartner.
Das 2010 gegründete Unternehmen cadopt.com hat sich als Herausgeber von CAD- (Computer-Aided Design) und PLM-Lösungen (Product Lifecycle Management) für die Industrie positioniert. Mit 10 bis 50 Mitarbeitern verkörpert dieses französische KMU die Dynamik französischer Technologieunternehmen in einem hart umkämpften und technologieorientierten Markt.
Das Unternehmen verwaltet hochsensible technische Daten im Auftrag seiner Industriekunden: Konstruktionspläne, 3D-Modelle, Produktspezifikationen, Entwicklungszyklen und strategisches geistiges Eigentum. Diese digitalen Assets repräsentieren oft jahrelange Forschung und Entwicklung mit erheblichem kommerziellem Wert. Die Kompromittierung solcher Informationen kann die Geschäftsgeheimnisse mehrerer Kundenunternehmen offenlegen und einen potenziell verheerenden Dominoeffekt auslösen.
Mit einem Jahresumsatz von 2 Millionen Euro ist Cadopt.com in einem Segment tätig, in dem Kundenvertrauen das wertvollste Gut ist. Industrieunternehmen vertrauen ihren CAD/PLM-Lösungsanbietern ihre strategisch wichtigsten Daten an und schaffen so eine Abhängigkeitsbeziehung, die auf strengen Sicherheitsgarantien basiert. Dieser Cyberangriff birgt daher das Risiko, den Ruf des betroffenen Unternehmens bei seinen Kunden dauerhaft zu schädigen.
Die französischen Geschäftstätigkeiten von Cadopt.com unterliegen europäischen und nationalen Datenschutzbestimmungen, einschließlich der DSGVO und gegebenenfalls der NIS2-Richtlinie, abhängig von der Kritikalität der Kundendaten. Die Auswirkungen dieses Angriffs reichen weit über das betroffene Unternehmen hinaus und können dessen gesamtes Ökosystem an Industriepartnern gefährden.
Der Vorfall bei cadopt.com wurde gemäß unserer XC-Classify-Methodik als SIGNAL eingestuft, was auf eine bestätigte Gefährdung hinweist. Das genaue Ausmaß wird jedoch noch analysiert. Diese kritische Stufe signalisiert eine nachgewiesene Kompromittierung, die sofortige Wachsamkeit erfordert, auch wenn die genaue Menge der abgeflossenen Daten vom Angreifer noch nicht öffentlich bekannt gegeben wurde.
Die potenziell offengelegten Informationen sind von großer strategischer Bedeutung: CAD-Konstruktionsdateien, PLM-Modelle, technische Kundendaten, geistiges Eigentum und möglicherweise Vertrags- oder Geschäftsinformationen. Im Bereich industrieller Softwarelösungen bilden diese digitalen Assets den Kern des Wertversprechens und der Wettbewerbsdifferenzierung.
Unsere Analyse auf Basis verifizierter Daten zeigt, dass der Angriff am 7. Dezember 2025 entdeckt wurde. Der genaue Zeitpunkt des ersten Eindringens muss jedoch noch ermittelt werden. Ransomware-Angriffe umfassen typischerweise eine Aufklärungs- und Exfiltrationsphase von mehreren Tagen bis Wochen, bevor die Verschlüsselung erfolgt und die Verantwortung öffentlich bekannt gegeben wird. Die verfügbaren Metadaten deuten auf eine systematische Vorgehensweise hin, die gezielt wertvolle Ressourcen ins Visier nimmt.
Der ursprüngliche Angriffsvektor wurde noch nicht öffentlich bestätigt, doch Angriffe auf Softwareanbieter nutzen häufig Schwachstellen in der Entwicklungsinfrastruktur, unzureichend geschützte VPN-Zugänge oder Spear-Phishing-Kampagnen gegen technische Teams aus. Die Angriffsfläche eines CAD/PLM-Softwareanbieters umfasst auch Verbindungen zu Kundensystemen, die potenziell für laterale Bewegungen ausgenutzt werden können.
Das Fehlen präziser quantifizierter Daten (Datenmenge in Gigabyte, Anzahl der Dateien) in der ersten Bekanntmachung mindert nicht die Schwere des Vorfalls. Die SIGNAL-Stufe zeigt an, dass die Beweise für eine Kompromittierung so konkret sind, dass eine sofortige Reaktion der Beteiligten und eine verstärkte Überwachung potenzieller Verbreitungskanäle für die exfiltrierten Daten erforderlich sind.
Die Softwarebranche, insbesondere der CAD/PLM-Bereich, ist aufgrund der Natur ihres Geschäfts erhöhten Cybersicherheitsrisiken ausgesetzt. Anbieter von Industriesoftware verwalten gleichzeitig ihr eigenes geistiges Eigentum (Quellcode, Algorithmen) und das ihrer Kunden (Designs, technische Spezifikationen). Dadurch entsteht eine Wertkonzentration, die für Cyberkriminelle attraktiv ist.
In Frankreich löst diese Kompromittierung strenge rechtliche Verpflichtungen gemäß der DSGVO aus. cadopt.com muss die CNIL (französische Datenschutzbehörde) innerhalb von 72 Stunden benachrichtigen, wenn personenbezogene Daten betroffen sind, und die betroffenen Personen direkt informieren, wenn ein hohes Risiko besteht. Über die DSGVO hinaus verschärft die derzeit in französisches Recht umgesetzte NIS2-Richtlinie die Cybersicherheitsanforderungen für Anbieter kritischer digitaler Dienste. Diese Kategorie kann je nach Kundenstamm auch Anbieter von Industrielösungen umfassen.
Mögliche regulatorische Konsequenzen sind Bußgelder von bis zu 4 % des weltweiten Umsatzes bei Nichteinhaltung der DSGVO sowie Zivilklagen von Kunden, die ihre Daten als unzureichend geschützt ansehen. Das Verständnis der DSGVO-Pflichten im Falle eines Cyberangriffs wird für jedes Softwareunternehmen, das sensible Daten verarbeitet, immer wichtiger.
Questions Fréquentes
When did the attack by lockbit5 on cadopt.com occur?
The attack occurred on December 7, 2025 and was claimed by lockbit5. The incident can be tracked directly on the dedicated alert page for cadopt.com.
Who is the victim of lockbit5?
The victim is cadopt.com and operates in the software sector. The company is located in France. Visit cadopt.com's official website. To learn more about the lockbit5 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on cadopt.com?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on cadopt.com has been claimed by lockbit5 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Dieser Vorfall ist Teil einer Reihe von Angriffen auf den französischen Technologiesektor im Jahr 2025 und offenbart einen besorgniserregenden Trend. Technologie-KMU sind besonders gefährdet, da sie im Vergleich zu Großkonzernen wertvolle Ressourcen mit oft begrenzten Sicherheitsbudgets kombinieren. → Weitere Vorfälle im Softwaresektor verdeutlicht das Ausmaß dieses Phänomens.