Onder leiding van Europol zijn met een grote verstoringsactie 34 servers uit de lucht gehaald van de beruchte ransomware-groepering LockBit. In Polen en Oekraïne zijn twee aanhoudingen verricht. In Nederland gingen dertien belangrijke servers offline. Europol denkt dat de criminele activiteiten van de groep hiermee ernstig zijn verstoord en aangetast. Aan de actie deden de Nederlandse Politie en politiediensten uit tien landen mee.
Hieraan vooraf gegaan was een maandenlang onderzoek, gericht op het neerhalen van het primaire platform van LockBit en andere kritieke infrastructuur die deze criminele onderneming mogelijk maakte. LockBit staat bekend als ‘s werelds gevaarlijkste bende op gebied van gijzelsoftware. Deze groepering was de afgelopen jaren verantwoordelijk voor een kwart van de wereldwijde aanvallen en veroorzaakte miljarden euro’s aan schade. Lockbit heeft ook in België slachtoffers gemaakt, zoals Soco (autodealers), Fidcornelis (accountancy), Krijnen (meubels), Frs-fnrs (fundamenteel onderzoek), Meroso (voeding), Renault Antwerpen, provincie Namen, ImmoSelekt en Le Home Waremmien (vastgoed). Net als de stad Geraardsbergen. In september 2022 werd laatstgenoemde het doelwit van een LockBit-cyberaanval. Ondanks de aanval weigerde Geraardsbergen losgeld te betalen, waarna de hackers privacygevoelige informatie op het darkweb publiceerden.
Ook in Nederland werden verschillende partijen slachtoffer, waaronder de KNVB. Sterke aanwijzingen bestaan dat de voetbalbond heeft betaald. Een van de kopstukken achter de bende zei eerder tegen dagblad de Volkskrant iedereen aan te vallen die geacht wordt te kunnen betalen.
De actie van vandaag omspande Nederland, Duitsland, Finland, Frankrijk, Zwitserland, Australië, de Verenigde Staten en het Verenigd Koninkrijk. ‘Het verstoren van het werkproces van deze groepering was een van onze doelen,’ aldus een cyberspecialist van een Nederlands onderzoeksteam. ‘We hebben complex digitaal onderzoek verricht op verschillende onderdelen van de infrastructuur. Dit moest in een rap tempo en hebben zo een belangrijk aandeel kunnen leveren in de internationale verstoringsactie.’
Onaantastbaar geacht
Meer dan tweehonderd cryptovaluta-rekeningen zijn bevroren. De Britse National Crime Agency heeft nu de controle overgenomen over de technische infrastructuur waarmee alle elementen van de LockBit-service kunnen werken. Ook heeft de politie de ’lek-site’ op het dark web in handen gekregen. Daar hosten de criminelen de gegevens die zijn gestolen van slachtoffers bij ransomware-aanvallen.
De politiediensten hebben tijdens het onderzoek een enorme hoeveelheid gegevens verzameld. Deze data kunnen nog van pas komen bij vervolgacties tegen de leiders van deze groep die zich tot voor kort onaantastbaar achtten. De politie heeft ook ontwikkelaars, handlangers en andere medeplichtigen op de korrel.
Ransomware-as-a-service
LockBit dook eind 2019 voor het eerst op en noemde zichzelf eerst ‘ABCD’-ransomware. Sindsdien is het snel gegroeid en in 2022 werd het de meest gebruikte ransomware-variant ter wereld. De groep is een ‘ransomware-as-a-service’-operatie, wat betekent dat een kernteam de malware maakt en de website beheert, terwijl de code in licentie wordt gegeven aan aangesloten criminele groepen die aanvallen lanceren.
LockBit was over de hele wereld actief. De bende was diep geworteld in Rusland, maar groeide uit tot een internationaal misdaadsyndicaat met ‘filialen’ over de hele wereld. Honderden cybercrime-bendes sloten zich bij deze organisatie aan om ransomware-operaties uit te voeren met behulp van LockBit-tools en -infrastructuur. De losgeld-betalingen werden verdeeld tussen het kernteam van LockBit en de aangesloten bendes, die gemiddeld driekwart van de geïnde losgeld-betalingen ontvingen.
Doorstart?
Ivan Kwiatkowski, onderzoeker bij cyberbeveiliger Harfanglab, waarschuwt dat het uitschakelen van de servers en de criminele infrastructuur nog niet het einde van de Lockbit-organisatie hoeft te betekenen. Hij zegt: ‘We hebben in het verleden veel gevallen gezien waarbij groepen een manier vinden om terug te komen, hun architectuur te herstructureren en uiteindelijk door te gaan met opereren.’ Kwiatkowski acht het onwaarschijnlijk dat alle leiders of leden van Lockbit zullen worden gearresteerd. ‘Dit betekent dat veel filialen in staat zullen zijn om door te gaan met het verspreiden van ransomware.’
Decryptie-tools
De Japanse politie heeft samen met Europol en de FBI een aantal decryptietools ontwikkeld waarmee je bestanden kunt herstellen die versleuteld zijn door LockBit. Deze zijn gratis beschikbaar gesteld op de website van No More Ransom in 37 verschillende talen.