Lockbit opgerold, beruchte bende hackte ook KNVB

Update 21 Februari 2024

Europol heeft meer details vrijgegeven over de recente acties tegen de ransomwarebende Lockbit. Als onderdeel van 'Operatie Cronos' zijn er een aantal belangrijke ontwikkelingen geweest. Allereerst hebben de politiediensten samengewerkt om tientallen servers van Lockbit offline te halen. De Nederlandse politie Oost-Brabant en Zeeland-West-Brabant hebben dertien van deze servers uitgeschakeld, terwijl ook andere landen waaronder Duitsland, Finland, Frankrijk, Zwitserland, de Verenigde Staten en het Verenigd Koninkrijk betrokken waren bij het oprollen van de Lockbit-infrastructuren.

Daarnaast is er een decryptietool ontwikkeld door de Japanse nationale politie in samenwerking met Europol, de FBI en de NCA. Deze tool is nu beschikbaar op NoMoreRansom, een website die al 120 decryptietools voor 150 ransomwarevarianten aanbiedt. Volgens Europol hebben al zes miljoen mensen baat gehad bij deze tool. Lockbit is bekend als een van de meest gebruikte en effectieve ransomwareprogramma's.

Tijdens de operatie zijn ook twee verdachten gearresteerd, één in Polen en één in Oekraïne. Deze personen worden verondersteld betrokken te zijn bij de Lockbit-bende. Bovendien heeft de FBI aanklachten ingediend tegen affiliates die Lockbit als softwareservicedienst afnamen om geld van slachtoffers te stelen. De politiediensten hebben ook meer dan 200 cryptovaluta-accounts in beslag genomen als onderdeel van de actie.

De politiediensten zijn van mening dat de infrastructuur van Lockbit volledig is ontmanteld, en zowel de bende zelf als degenen die de ransomware als dienst afnamen, zullen worden belemmerd. Tijdens de operatie is veel aandacht besteed aan de "exfiltratiekanalen", oftewel de manieren waarop de criminelen geld verdienden en wegsluizen.

Op vrijdag zullen de diensten meer informatie vrijgeven over de financiën van de bende en zal de identiteit van de leider van de bende bekend worden gemaakt. Tot nu toe opereerde deze persoon onder de naam Lockbitsupp.

De LockBit-ransomwaregroep is weer online verschenen met een nieuwe website en heeft aangekondigd door te gaan met het hacken van slachtoffers. Volgens de groep was de recente hack van politiediensten mogelijk doordat een PHP-server niet op tijd was geüpdatet, waardoor ze vermoedelijk gebruik hebben gemaakt van een kwetsbaarheid in PHP 8.1.2, genaamd CVE-2023-3824.

LockBit beweert echter dat de politiediensten minder hebben buitgemaakt dan ze beweren, inclusief minder decryptors. Dit betekent dat de politiediensten mogelijk minder bestanden kunnen ontsleutelen dan aanvankelijk gedacht. Om de gevolgen van mogelijke toekomstige aanvallen te verminderen, kondigt LockBit een aantal maatregelen aan, zoals verdere decentralisatie bij hun klanten.

Opvallend is dat LockBit ook heeft aangekondigd dat ze voornemens zijn om vaker overheden aan te vallen. Hiermee willen ze uitdagen en bewijzen dat zelfs de politiediensten in staat zijn om de LockBit-ransomwaregroep te hacken. 

Ik vind dat ze dat als terrorrisme moeten zien. Zeer hoge straffen eisen!!!

Russische LockBit-leider ontmaskerd door autoriteiten

Dmitry Yuryevich Khoroshev, een 31-jarige inwoner van Voronezh, Rusland, is geïdentificeerd als de sleutelfiguur achter de beruchte LockBit-ransomware. Naar verluidt heeft hij door zijn crimineledernemingen een equivalent van 100 miljoen dollar verzameld.

Bevestigd door prestigieuze instanties zoals de FBI, de Britse National Crime Agency (NCA) en Europol, wordt Khoroshev beschouwd als het brein en de drijvende kracht achter LockBit. Online opererend onder de aliassen “LockBitSupp” en “putinkrab”, fungeert hij als de kernbeheerder en ontwikkelaar van deze cybercriminele entiteit.

LockBit heeft een duidelijk Russische oorsprong, een feit dat al langer bekend was, maar de recente onthulling werpt specifiek licht op de persoon die aan de touwtjes trekt. De groep heeft een reputatie opgebouwd als de meest succesvolle cybercriminele organisatie ter wereld. Echter, in een opmerkelijke tegenslag voor LockBit, voerden internationale autoriteiten, waaronder Europol, Europese politiediensten en partners uit landen als de VS, Canada, Japan en Australië, eerder dit jaar succesvolle operaties uit. Deze operaties resulteerden in het neerhalen van hun lekwebsite in februari, het in beslag nemen van servers en het veiligstellen van ongeveer 305GB aan gestolen bedrijfsgegevens.

Ondanks een tijdelijke verzwakking is LockBit enigszins hersteld. Tegelijkertijd heeft de lekkage van hun broncode ertoe geleid dat andere cybercriminelen deze nu exploiteren, waardoor verscheidene copycat-operaties zijn ontstaan.

De ontmaskering van Khoroshev markeert een significante overwinning voor wereldwijde veiligheidsdiensten, mogelijk leidend tot sancties die zijn financiële bewegingsvrijheid kunnen beperken. Desalniettemin blijft hij, mede door zijn verblijfplaats in Rusland, buiten het bereik van internationale autoriteiten, waardoor de kans op verdere rechtstreekse consequenties beperkt is.

Niettemin blijft de dreiging van LockBit-criminelen aanzienlijk, met voortdurende aanvallen en gevallen waarin betaalde decryptors niet werken, waardoor slachtofferorganisaties achterblijven zonder hun data en met significante financiële verliezen. Dit onderstreept de waarschuwing van de Britse National Crime Agency: de beloftes van deze criminelen kunnen niet worden vertrouwd.

De FBI heeft nu aangekondigd een beloning van 10 miljoen dollar uit te loven voor de tip die leidt tot de arrestatie van Khoroshev, het vermeende brein achter LockBit. Momenteel kan hij niet worden gepakt omdat hij in Rusland verblijft, een land zonder uitleveringsovereenkomst met de VS. Echter, er bestaat een mogelijkheid dat hij op een sanctielijst wordt geplaatst, waardoor zijn arrestatie bij het oversteken van de grens kan plaatsvinden. Daarnaast kunnen zijn cryptotegoeden in het buitenland worden bevroren. Hierdoor wordt het risico voor Khoroshev om naar het buitenland te reizen vergroot.

Het publiekelijk bekendmaken van Khoroshev als de verantwoordelijke voor LockBit zal hoogstwaarschijnlijk potentiële criminelen afschrikken om met hem samen te werken. De onthulling van zijn identiteit heeft dus een afschrikkend effect en kan mogelijk anderen ontmoedigen om soortgelijke criminele activiteiten te ondernemen uit angst voor repercussies. De reputatie van LockBit heeft hierdoor een deuk opgelopen en er wordt gespeculeerd dat de bende wellicht op het punt staat om de handdoek definitief in de ring te gooien.

Hoewel Khoroshev mogelijk al financieel onafhankelijk is, heeft de FBI's zet om zijn identiteit bloot te leggen de druk opgevoerd. Er wordt voorspeld dat LockBit's vermogen om bedrijven te dwingen tot betaling hierdoor ernstig zal worden belemmerd, aangezien potentiële slachtoffers nu meer bewust zijn van de risico's die samengaan met associatie met hem.

Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie

Een vermeende ontwikkelaar van de LockBit-ransomware is recentelijk aangehouden tijdens een internationale politieactie waarin twaalf landen betrokken waren. In totaal zijn er vier personen gearresteerd, en zijn er belangrijke diensten en infrastructuren die essentieel zijn voor LockBit in beslag genomen.

De aanhouding van de vermeende ontwikkelaar vond plaats op verzoek van de Franse autoriteiten, zoals gerapporteerd door Europol. In het Verenigd Koninkrijk hebben de autoriteiten twee personen gearresteerd die verdacht worden van het ondersteunen van LockBit. In Spanje is een vermeende beheerder van een hostingdienst die door de ransomwaregroep wordt gebruikt gearresteerd. Daarnaast zijn er in Spanje ook negen servers in beslag genomen die onderdeel uitmaken van de LockBit-infrastructuur.

In een gerelateerd gebeuren hebben Australië, het Verenigd Koninkrijk en de Verenigde Staten sancties opgelegd tegen een individu dat volgens de Britse National Crime Agency gelinkt is aan LockBit. Dit individu wordt ook verbonden met de criminele groep Evil Corp, ondanks het feit dat LockBit eerder heeft beweerd dat zij en Evil Corp niet samenwerken.

LockBit was tussen 2021 en 2023 een van de meest actieve ransomwaregroepen ter wereld, aldus Europol. De ransomware opereert volgens een ransomware-as-a-service model, waarbij de kernontwikkelaars de ransomware beschikbaar stellen aan andere criminelen in ruil voor een percentage van de opbrengsten. Het is aan deze criminelen om de ransomware zelf te verspreiden.

Deze arrestaties en inbeslagnemingen zijn het resultaat van de derde fase van Operatie Cronos, waaraan ook de Nederlandse politie heeft deelgenomen. Dit voorjaar werd al een website van de LockBit-groep in beslag genomen en werden meer dan dertig servers offline gehaald. Eerder zijn er ook diverse arrestaties verricht en is er een decryptietool beschikbaar gesteld op de website No More Ransom, waarmee slachtoffers hun bestanden gratis kunnen ontsleutelen.