Angriffwarnung: lockbit5 zielt auf felixvet.com - FR
Introduction
Am 7. Dezember 2025 reihte sich die Pariser Tierklinik felixvet.com in die Liste der Opfer der Lockbit5-Ransomware-Gruppe ein und markierte damit einen weiteren Angriff auf das französische Gesundheitswesen. Dieser Cyberangriff, der über das XC-Audit-Protokoll auf der Polygon-Blockchain zertifiziert wurde, setzte eine kleine Tierarztpraxis (1 bis 10 Mitarbeiter) den Risiken aus, die mit der Kompromittierung medizinischer und finanzieller Daten einhergehen. Der Angriff, der gemäß unserem XC-Classify-System als SIGNAL eingestuft wurde, verdeutlicht die zunehmende Verwundbarkeit lokaler Gesundheitseinrichtungen gegenüber Cyberkriminellen, die nach dem Ransomware-as-a-Service-Modell (RaaS) agieren. Der Vorfall ereignete sich in einem Kontext, in dem Tierarztpraxen, die oft unzureichend mit Cybersicherheit ausgestattet sind, zu Hauptzielen für den Diebstahl sensibler Daten werden.
Der Angriff auf felixvet.com ist Teil eines besorgniserregenden Trends: die steigende Zahl von Sicherheitslücken, die kleine Gesundheitseinrichtungen betreffen, welche besonders anfällig für ausgeklügelte Angriffstechniken sind. Tierarztpraxen, die gleichzeitig Tierakten, Kundendaten und Zahlungssysteme verwalten, sind attraktive Ziele für Cyberkriminelle. Der jüngste Angriff im Dezember 2025 zeigt, dass Lockbit5 nicht nach der Größe des angegriffenen Unternehmens diskriminiert, sondern den Zugriff auf die Systeme über die Größe des Opfers stellt. Die Blockchain-Zertifizierung dieses Vorfalls garantiert eine unveränderliche Nachverfolgbarkeit und ermöglicht es Behörden und Cybersicherheitsexperten, diesen Angriff präzise zu dokumentieren und die Abwehrmaßnahmen des Sektors zu stärken.
Analyse détaillée
Die Lockbit5-Gruppe operiert nach dem Ransomware-as-a-Service-Modell (RaaS), einer kriminellen Architektur, die es Mitgliedern ermöglicht, Angriffe unter einem Franchise-System durchzuführen. Das 2025 aktive Cyberkriminellen-Kollektiv führt das Erbe früherer Lockbit-Generationen fort und passt seine Taktiken kontinuierlich an, um moderne Abwehrmechanismen zu umgehen. Die typische Vorgehensweise kombiniert die anfängliche Schwachstellensuche, den Zugriff durch gezieltes Phishing oder Ausnutzung ungepatchter Sicherheitslücken und den anschließenden Einsatz von Ransomware zur Verschlüsselung kritischer digitaler Daten.
→ Vollständige Analyse der Lockbit5-Gruppe
Die Lockbit5-Gruppe bevorzugt eine doppelte Erpressungstaktik: Datenverschlüsselung in Verbindung mit dem vorherigen Diebstahl sensibler Informationen, um maximalen Druck auf die Opfer auszuüben. Ihre Taktiken, Techniken und Verfahren (TTPs) umfassen die Persistenz über kompromittierte Administratorkonten, die Verwendung legitimer, von der Quelle entwendeter Tools (sogenanntes „Living-off-the-Land“) und die Deaktivierung von Sicherheitslösungen vor der endgültigen Implementierung. Die Gruppe zielt wahllos auf alle Sektoren ab, von kritischer Infrastruktur bis hin zu KMU, wie der Angriff auf felixvet.com zeigt. Zu den bisherigen Opfern des Lockbit-Netzwerks (aller Generationen) zählen Gesundheitseinrichtungen, Finanzinstitute und Industrieunternehmen weltweit. Die Lösegeldforderungen variieren je nach der geschätzten Zahlungsfähigkeit des Ziels.
Die Tierarztpraxis felixvet.com ist eine kleine Pariser Praxis mit 1 bis 10 Mitarbeitern. Diese im Gesundheitssektor tätige Organisation verarbeitet täglich sensible tiermedizinische Daten, darunter Behandlungsverläufe, Rezepte und Diagnosebefunde. Das in Frankreich ansässige Unternehmen unterliegt strengen regulatorischen Bestimmungen, die den Schutz personenbezogener Kundendaten und die Sicherheit von Zahlungsinformationen vorschreiben.
Die geringe Größe von felixvet.com, typisch für lokale Tierarztpraxen, bedeutet in der Regel begrenzte Ressourcen für Cybersicherheit. Solche Praxen priorisieren Investitionen in medizinische Geräte und tiermedizinisches Fachwissen gegenüber einer sicheren IT-Infrastruktur. Die Pariser Klinik verarbeitet Kundendaten, darunter Kontaktdaten, Behandlungsverläufe und Bankverbindungen für Zahlungen, und schafft so ein für Cyberkriminelle attraktives Datenökosystem. Die Kompromittierung einer solchen Struktur beeinträchtigt unmittelbar das Vertrauen der Tierhalter – ein grundlegendes Element für ein lokales Dienstleistungsunternehmen. Die potenziellen Folgen reichen von Meldepflichten gegenüber Aufsichtsbehörden über Kosten für die technische Behebung bis hin zu Reputationsschäden in einem wettbewerbsintensiven lokalen Markt.
Die technische Analyse des Vorfalls ergab eine Klassifizierung auf SIGNAL-Niveau gemäß unserem XC-Classify-System. Dies deutet auf eine frühzeitige Erkennung verdächtiger Aktivitäten hin, ohne dass ein massiver Datenverstoß formal bestätigt wurde. Dieses Ausmaß an Offenlegung deutet darauf hin, dass felixvet.com auf der Lockbit5-Liste geführt wird, ohne dass dies zwangsläufig bedeutet, dass alle Systeme kompromittiert oder große Datenmengen abgegriffen wurden.
Die potenziell in einer Tierarztpraxis offengelegten Daten umfassen typischerweise Tierakten (Diagnosen, Behandlungen, Impfungen), Kundendaten (Identität, Kontaktdaten, Besuchshistorie) und Finanzdaten (Zahlungsmethoden, Rechnungen). Bei einer Praxis mit 1 bis 10 Mitarbeitern beträgt das Datenvolumen in der Regel einige Gigabyte, enthält aber sensible personenbezogene Daten im Sinne der DSGVO. Der Vorfall beginnt mit der Entdeckung am 7. Dezember 2025, dem Datum der Aufnahme in die Lockbit5-Liste.
→ XC-Kritikalitätsstufen verstehen
Der ursprüngliche Angriffsvektor wird noch untersucht. Angriffe auf kleinere Gesundheitseinrichtungen resultieren jedoch häufig aus gezielten Phishing-E-Mails an Verwaltungspersonal oder der Ausnutzung ungepatchter Sicherheitslücken in Systemen mit Internetanbindung (E-Mail-Server, veraltete VPN-Verbindungen). Die damit verbundenen Risiken betreffen vor allem die Vertraulichkeit von Kundendaten, die Verfügbarkeit von Systemen zur Verwaltung medizinischer Daten und die Integrität von Tiergesundheitsdaten. Fehlende robuste Verschlüsselung ruhender Daten und potenzielle Schwächen der Authentifizierungsmechanismen sind typische Risikofaktoren für diese Art von Organisation.
Der Angriff auf felixvet.com verdeutlicht die spezifischen Risiken für den französischen Gesundheitssektor, der sowohl die Human- als auch die Tiergesundheit umfasst. Tierarztpraxen verarbeiten sensible personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) und unterliegen damit denselben Verpflichtungen wie andere medizinische Einrichtungen. Die Kompromittierung von Tiergesundheitsdaten gibt indirekt Informationen über die Tierhalter preis und birgt somit das Risiko von Datenschutzverletzungen.
Französische Vorschriften verpflichten Gesundheitsorganisationen jeder Größe, die CNIL (Nationale Kommission für Informatik und Bürgerrechte) innerhalb von 72 Stunden nach Entdeckung einer Datenschutzverletzung zu benachrichtigen. Für felixvet.com umfasst diese Verpflichtung unter Umständen auch die direkte Benachrichtigung betroffener Kunden, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Die in französisches Recht umgesetzte NIS2-Richtlinie erweitert den Kreis der kritischen Einrichtungen, wobei sehr kleine Tierarztpraxen in der Regel nicht direkt unter ihre Anwendung fallen.
Die Folgen für ähnliche Unternehmen im Sektor sind ein geschärftes Bewusstsein für die Anfälligkeit von Systemen in Tierarztpraxen, die häufig ohne Priorisierung der Cybersicherheit entwickelt wurden. Die Erfahrung zeigt, dass kompromittierte Kliniken mit lang anhaltenden Betriebsstörungen zu kämpfen haben, die die Kontinuität der Patientenversorgung beeinträchtigen und erhebliche Umsatzeinbußen verursachen. Das Risiko einer Kettenreaktion betrifft gemeinsam genutzte IT-Dienstleister, die möglicherweise von mehreren Tierarztpraxen mit gemeinsamer Infrastruktur genutzt werden.
Questions Fréquentes
When did the attack by lockbit5 on felixvet.com occur?
The attack occurred on December 7, 2025 and was claimed by lockbit5. The incident can be tracked directly on the dedicated alert page for felixvet.com.
Who is the victim of lockbit5?
The victim is felixvet.com and operates in the healthcare sector. The company is located in France. Visit felixvet.com's official website. To learn more about the lockbit5 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on felixvet.com?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on felixvet.com has been claimed by lockbit5 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Die Zertifizierung dieses Angriffs basiert auf dem XC-Audit-Protokoll, das eine unveränderliche Nachverfolgbarkeit über die Polygon-Blockchain gewährleistet. Jeder dokumentierte Vorfall erzeugt einen eindeutigen kryptografischen Hashwert, der auf dieser dezentralen Infrastruktur gespeichert wird und so die öffentliche und transparente Überprüfung der Datenauthentizität ermöglicht. Im Gegensatz zu herkömmlichen, intransparenten, zentralisierten und manipulationsfähigen Verifizierungssystemen bietet die Polygon-Blockchain eine Garantie für dauerhafte Integrität.