Angriffwarnung: lockbit5 zielt auf marriott.com - US
Introduction
Der Hotelgigant Marriott International (marriott.com) mit über 120.000 Mitarbeitern und einem Umsatz von 20,97 Milliarden US-Dollar sah sich im Dezember 2025 einer neuen Cyberbedrohung ausgesetzt. Die Ransomware-Gruppe LockBit5 bekannte sich zu dem Angriff auf die Infrastruktur der globalen Hotelkette, wodurch potenziell sensible Kundendaten, Reservierungen und Zahlungssysteme offengelegt wurden. Dieser Angriff, der gemäß unserer zertifizierten Analyse als XC-Signal eingestuft wurde, trifft die Hotelbranche in einer Zeit, in der sie bereits durch wiederkehrende Cyberangriffe geschwächt ist. Der am 7. Dezember 2025 entdeckte Einbruch wirft wichtige Fragen zum Schutz der persönlichen Daten von Millionen von Reisenden weltweit auf.
Dieser Angriff ereignet sich inmitten einer Welle von Cyberangriffen auf Kundendatenbanken und Reservierungssysteme der US-amerikanischen Hotelbranche. Cyberkriminelle nutzen den hohen Marktwert von Informationen zu Kreditkarten, Identitäten und Reisegewohnheiten aus. Für Marriott, das seit seiner Gründung 1927 kritische Hotelmanagementsysteme betreibt, reichen die Auswirkungen eines solchen Sicherheitsvorfalls weit über den technischen Bereich hinaus und beeinträchtigen das Vertrauen seiner internationalen Kundschaft.
Analyse détaillée
Die Analyse der verfügbaren Metadaten zeigt, dass LockBit5 seine aggressive Position in der globalen Cyberkriminalitätslandschaft beibehält. Die auf der Polygon-Blockchain zertifizierten Daten ermöglichen eine präzise Chronologie des Vorfalls und bieten beispiellose Transparenz in einem traditionell undurchsichtigen Bereich. Dieser Angriff auf ein Unternehmen dieser Größe demonstriert die Fähigkeit der Gruppe, komplexe und hochsichere Infrastrukturen ins Visier zu nehmen.
Das XC-SIGNAL-Level signalisiert eine erkannte Sicherheitslücke, deren Ausmaß jedoch noch von unseren Analysesystemen ermittelt wird. Im Gegensatz zu den Levels MINIMAL, PARTIAL oder FULL, die die Menge der kompromittierten Dateien präzise quantifizieren, signalisiert der SIGNAL-Status einen aktiven Angriff, der eine genaue Überwachung erfordert. Diese Klassifizierung ermöglicht es Sicherheitsteams, ihre Reaktion zu priorisieren, während sie auf konkretere Informationen über die genaue Art der betroffenen digitalen Assets warten.
LockBit5 stellt die neueste Entwicklung einer besonders produktiven und anpassungsfähigen Ransomware-Familie dar. Dieses Cyberkriminellenkollektiv operiert nach dem Ransomware-as-a-Service-Modell (RaaS) und stellt seine Schadsoftware-Infrastruktur Partnern zur Verfügung, die Angriffe vor Ort durchführen und anschließend die Lösegelder unter sich aufteilen. Diese dezentrale Struktur erschwert den Behörden die Zuordnung und Zerschlagung der Gruppe erheblich.
Die Gruppe tritt in die Fußstapfen früherer LockBit-Varianten, die für ihre technische Raffinesse und operative Aggressivität bekannt sind. Analysen unserer Experten für Bedrohungsanalysen zeigen, dass LockBit5 über ein Arsenal bewährter Taktiken, Techniken und Verfahren (TTPs) verfügt: Ausnutzung von Zero-Day-Schwachstellen, Kompromittierung privilegierter Konten, unauffällige laterale Bewegung und massenhafte Datenexfiltration vor der Verschlüsselung. Ihr Markenzeichen ist die doppelte Erpressung: Verschlüsselung von Systemen UND die Drohung mit der Veröffentlichung der gestohlenen Daten.
LockBit5 ist seit 2025 aktiv und verfolgt eine opportunistische Angriffsstrategie, die sowohl KMU als auch multinationale Konzerne trifft. Zu ihren bisherigen Opfern zählen Unternehmen aus allen kritischen Sektoren: Gesundheitswesen, Finanzen, Fertigung und nun auch das Gastgewerbe. Das Kollektiv betreibt eine spezielle Leak-Website im Darknet, auf der es schrittweise die Dateien von Organisationen veröffentlicht, die sich weigern zu zahlen. Dadurch maximiert es den psychologischen und reputationsbezogenen Druck.
Ihre Vorgehensweise bevorzugt klassische Angriffsmethoden: ausgeklügelte Phishing-E-Mails, Ausnutzung schlecht gesicherter RDP-Dienste und Kompromittierung der Software-Lieferkette. Sobald der erste Zugriff erlangt ist, setzen LockBit5-Mitglieder Netzwerkaufklärungstools ein, erweitern ihre Berechtigungen und etablieren Persistenzmechanismen, bevor sie die Daten exfiltrieren. Die finale Verschlüsselung erfolgt typischerweise an Wochenenden oder in Zeiten geringer Aktivität, um die Wirkung zu maximieren.
→ Vollständige Analyse der LockBit5-Gruppe
Marriott International ist seit fast einem Jahrhundert ein Eckpfeiler der globalen Hotelbranche. Das 1927 gegründete Unternehmen entwickelte sich von einem bescheidenen Root-Beer-Stand in Washington, D.C., zu einem Hotelimperium mit über 8.000 Hotels in 139 Ländern und Gebieten. Das Portfolio an renommierten Marken – Ritz-Carlton, St. Regis, W Hotels, Sheraton und Westin – positioniert Marriott.com als führendes Unternehmen im Gastgewerbe.
Mit über 120.000 Mitarbeitern und einem Umsatz von 20,97 Milliarden US-Dollar wickelt das amerikanische Unternehmen täglich Millionen sensibler Transaktionen ab. Seine IT-Systeme verarbeiten Reservierungen, Kreditkartenzahlungen, Treueprogramme (Marriott Bonvoy zählt über 180 Millionen Mitglieder), biometrische Daten in einigen Hotels sowie Informationen zu den persönlichen Präferenzen der Kunden. Diese enorme Menge an persönlichen und finanziellen Daten macht Marriott zu einem attraktiven Ziel für Cyberkriminelle.
Die technologische Infrastruktur von Marriott.com basiert auf vernetzten Hotelverwaltungssystemen (PMS), Online-Buchungsplattformen, mobilen Anwendungen und global verteilten Kassensystemen. Diese für den internationalen Betrieb notwendige architektonische Komplexität vervielfacht die potenziellen Angriffsflächen. Jedes Hotel stellt einen möglichen Einfallstor in das zentrale Unternehmensnetzwerk dar und birgt somit erhebliche Sicherheitsrisiken.
Leider ist das Unternehmen nicht frei von schwerwiegenden Cyberangriffen. Im Jahr 2018 gab Marriott einen massiven Datenverlust in seiner Starwood-Datenbank (übernommen 2016) bekannt, der die persönlichen Daten von 500 Millionen Kunden über vier Jahre betraf. Dieser historische Vorfall führte zu erheblichen Bußgeldern und einem nachhaltigen Reputationsschaden. Das wiederholte Auftreten solcher Vorfälle wirft Fragen zur Wirksamkeit der Sicherheitsinvestitionen nach 2018 auf.
→ Weitere Angriffe im Gastgewerbe
Der XC-SIGNAL-Status dieser Kompromittierung deutet auf eine aktive Meldung von LockBit5 hin, ohne dass das genaue Ausmaß der entwendeten Daten unmittelbar bestätigt werden konnte. Unsere XC-Classify-Analysesysteme, basierend auf den NIST-Klassifizierungsmethoden, überwachen kontinuierlich die Kommunikationskanäle der Gruppe, um diese Einschätzung zu aktualisieren. Die Daten legen nahe, dass die Angreifer möglicherweise auf Kunden- und Reservierungsmanagementsysteme zugegriffen haben – kritische Bereiche mit Namen, Adressen, Passnummern, Bankdaten und Aufenthaltsverläufen.
Eine Untersuchung der von LockBit5 in ihrer Darknet-Infrastruktur veröffentlichten Forderungen zeigt eine explizite Erwähnung von marriott.com vom 7. Dezember 2025. Cyberkriminelle gehen typischerweise in mehreren Phasen vor: Zunächst wird eine Ankündigung gemacht, dann werden Beweismittel bereitgestellt und schließlich, falls das Lösegeld nicht gezahlt wird, schrittweise Informationen offengelegt. Das Fehlen öffentlich zugänglicher Dateien könnte in dieser Phase entweder auf laufende Verhandlungen oder eine Karenzzeit vor einer Eskalation hindeuten.
Mögliche Angriffsmethoden gegen ein Unternehmen dieser Größe sind die Kompromittierung von Administratorkonten durch Credential Stuffing oder gezieltes Phishing, die Ausnutzung ungepatchter Sicherheitslücken in PMS-Systemen von Drittanbietern oder die Infiltration über einen Managed Service Provider. Die Vernetzung der über 8.000 Marriott-Hotels bietet zahlreiche Möglichkeiten für eine diskrete, laterale Ausbreitung, sobald der erste Zugriff hergestellt ist. LockBit5-Partner bevorzugen in der Regel längere Aufklärungsphasen (mehrere Wochen), um sich vor der Datenexfiltration einen Überblick über die Umgebung zu verschaffen.
Questions Fréquentes
When did the attack by lockbit5 on marriott.com occur?
The attack occurred on December 7, 2025 and was claimed by lockbit5. The incident can be tracked directly on the dedicated alert page for marriott.com.
Who is the victim of lockbit5?
The victim is marriott.com and operates in the hospitality sector. The company is located in United States. Visit marriott.com's official website. To learn more about the lockbit5 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on marriott.com?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on marriott.com has been claimed by lockbit5 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Der wahrscheinliche zeitliche Ablauf des Vorfalls deutet auf einen ersten Einbruch hin, der mehrere Wochen vor der Forderung vom 7. Dezember stattfand. Die Angreifer haben vermutlich mehrere dauerhafte Zugriffspunkte eingerichtet, ihre Berechtigungen auf Administratorkonten erweitert und die sensibelsten Datenbanken identifiziert. Der massenhafte Datenabfluss erfolgte vermutlich einige Tage vor dem Einsatz der Ransomware, gemäß dem klassischen Muster einer doppelten Erpressung. Die Sicherheitsteams von Marriott haben die schädlichen Aktivitäten wahrscheinlich während der Verschlüsselung oder durch Warnmeldungen über ungewöhnliche Datenübertragungen entdeckt.