Het Britse National Crime Agency claimt de leider te hebben ontmaskerd van de wereldwijd opererende LockBit-ransomware. Het zou gaan om Dmitry Khoroshev (31), een Rus die met alias ‘LockBitSupp’ de bende leidde. De VS hebben tien miljoen dollar beloning uitgeloofd voor aanhouding van de man. Zijn tegoeden zijn bevroren en hij heeft een reisverbod. De eerste versie van LockBit verscheen begin 2020, toen nog als ‘ransomware-as-a-service’. Begin 2024 werd de bende, volgens het NCA verantwoordelijk voor meer dan zevenduizend aanvallen (waaronder die op voetbalbond KNVB en de leverancier van de C2000 software), opgerold. Deze week zijn de identiteiten bekendgemaakt van meerdere LockBit-leden. Ze verblijven vermoedelijk in Rusland of een land dat geen uitleveringsverdrag heeft met de VS. Cybercriminelen worden in Rusland vaak met rust gelaten ‘zolang ze enkel westerse bedrijven aanvallen’.
lockbit
Securitybedrijf meldt afname losgeldbetalingen bij ransomware
Volgens onderzoekers van beveiliger Coveware wordt er bij ransomwareaanvallen steeds minder vaak losgeld betaald. Nog maar 28% van de slachtoffers betaalt, waar dat in 2019 nog 85% was. Ook het gemiddeld losgeldbedrag daalde, met eenderde, tot bijna vier ton. De daling komt volgens Coveware door de betere aanpak van ransomware-as-a-Service (RaaS) ontwikkelaars. Ook een rol speelde de inbeslagname van website en servers van de ransomwaregroepen LockBit en BlackCat. De manier waarop RaaS-ontwikkelaars daarop reageerden, was verbijsterend, stellen de onderzoekers. ‘In plaats van moeite te doen om het vertrouwen van partners te versterken, deden de ontwikkelaars juist het tegenovergestelde. Daardoor zijn veel van de partners gestopt of kijken naar het ontwikkelen van hun eigen ransomware’.
Hackersbende Lockbit opgerold
Politiediensten uit meerdere landen hebben de hackersgroep Lockbit platgelegd. Op de darkwebsite van Lockbit staat nu dat de site ‘onder controle is’ van de Britse National Crime Agency. Aan de actie deden onder meer de FBI en de polities van Frankrijk, Japan, Finland en Nederland mee. Lockbit, ooit opgericht door Russische hackers, was volgens het bericht de meest gevreesde criminele hackersbende ter wereld. Op de website stond een lange lijst met namen van slachtoffers die niet (snel genoeg) betaalden. Een onbevestigde claim was dat de groep in Nederland was gevestigd. Wel bekend is dat ook tientallen Nederlandse bedrijven slachtoffer werden, waaronder voetbalbond KNVB dat een miljoen euro betaalde. RTLNieuws meldt dat in Polen en Oekraïne twee beheerders zijn aangehouden, hun rol is nog onbekend. Ook zijn honderden cryptoportemonnees in beslag genomen. Eind deze week wordt bekendgemaakt wie de baas van Lockbit is. Die persoon loofde ooit tien miljoen dollar uit aan degene die zijn identiteit kon achterhalen. De NCA claimt dat nu te weten. Op de Lockbit-site staat, met een knipoog naar de timers die de bende zelf gebruikte, daarom een nieuwe timer.
update: De LockBit-ransomwaregroep is weer online met een nieuwe website. De hack was volgens die nieuwe site mogelijk doordat een php-server niet op tijd was geüpdatet. De groep zegt overheden vaker te gaan aanvallen, om politiediensten uit te dagen.
KNVB betaalde Russische cybercriminelen na digitale inbraak
Omdat ‘het voorkomen van verspreiding van gestolen data zwaarder weegt dan het principe om ons niet te laten afpersen’, heeft voetbalbond KNVB afspraken gemaakt met de Russische cybercriminelen die, april jl, hadden ingebroken in computers van de bond. Onduidelijk is of deze afspraken, gemaakt ‘onder deskundige begeleiding’, ook losgeld betreffen. De KNVB wil betaling niet bevestigen. Na de inbraak plaatste de LockBit-groep screenshots online van mappen en documenten die uit het KNVB-netwerk leken te komen. De hackers hadden mogelijk toegang tot persoonsgegevens (identiteitsbewijzen, handtekeningen, medische gegevens, bankrekeningnummers) van KNVB-leden waaronder spelers in het betaald voetbal. De KNVB deed aangifte bij de politie en meldde het datalek bij de Autoriteit Persoonsgegevens. Op een speciale website informeert de bond alle leden.
Zowel de AP als het ministerie van Justitie hebben inmiddels kritiek geuit op de betaling, volgens bronnen rond de 1 miljoen euro. De AP heeft de KNVB zelfs ‘berispt’ om het in stand houden van een ‘verwerpelijk verdienmodel’. Techexperts prijzen daarentegen de bond. Techjurist Menno Weij (BDO) spreekt van een wijs besluit: ‘het klopt dat je daarmee het verdienmodel financiert, maar het is een illusie dat het kwaad verdwijnt als je niet betaalt’. Directeur Pim Takkenberg van beveiliger Northwave vindt het ‘revolutionair en prijzenswaardig’ dat de bond zo open over de hack praat. ‘Als er veel gevoelige informatie op straat zou komen te liggen, zoals hier bij de KNVB, kun je ervoor kiezen om te betalen’. De afgelopen drie jaar werd bijna de helft van alle Nederlandse organisaties slachtoffer van een cyberaanval; 46% betaalde al eens losgeld aan cybercriminelen (bron: Human Risk Review 2023).
“Duizend euro als je logo internetcriminelen tatoeëert”
Zeker tien Belgen zijn de afgelopen weken in een tattooshop geweest om daar een tattoo van LockBit te laten plaatsen. LockBit, een beruchte criminele ransomwarebende, loofde daarvoor een beloning van duizend euro uit. Dat leek een stunt, maar kennelijk zijn er mensen die vielen voor dat aanbod. Korte tijd later waren op twitter foto’s te vinden van internetgebruikers met zo’n LockBit-tattoo. Een van hen zette op Github een collectie foto’s en filmpjes van LockBit-fans. Inlichtingendiensen in meerdere landen speuren ondertussen naar de bendeleden die de afgelopen maanden erg actief waren: Malwarebytes telde tussen maart tot augustus 2022 maar liefst 430 besmettingen door LockBit-ransomware.
“We vallen iedereen aan die we pakken kunnen”
Gijzelsoftware, ransomware – het blijft de meest voorkomende en winstgevende vorm van cybercriminaliteit, ook na het offline gaan van REvil. Nu lijkt LockBit het meest succesvol. De groep zit achter een derde van alle wereldwijde infecties met ransomware, schrijft techjournalist Huib Modderkolk in De Volkskrant na een online gesprek met een van LockBit-ontwikkelaars. Deze Rus (?), sinds 1994 actief als hacker, noemt zich de ‘leider en organisator van een georganiseerde criminele groepering’. Hij begint zijn dag met een rondje hardlopen en een uurtje fitnessen. Daarna is het ‘bedrijven aanvallen, rekruteren, geld witwassen. Lunch. Opnieuw werken’. Zijn geld geeft hij uit aan entertainment, ‘modellen van OnlyFans en Instagram, helikoptervluchten, racen in de stad en op het circuit in een Lamborghini Urus’. Tussen het planten van de software (de infectie) en het uitrollen van de gijzeling zit soms een uur, soms twee maanden, aldus de man. LockBit, ontwikkeld in 2019, wordt via het darkweb verkocht aan zogenoemde affiliates. Dat zijn soms ‘domme tieners’ maar nieuwe leden moeten zichzelf eerst bewijzen. Een lijst met slachtoffers lijkt er niet te zijn. ‘We kiezen niet. We vallen iedereen aan die we kunnen pakken’. Maar niet je eigen natie, ‘dat is een erecode’. Opsporingsdiensten kunnen hem niet vinden, denkt hij. ‘Ik gebruik satellietinternet, geregistreerd met een valse identiteit en met de originele software aangepast’ waardoor hij zijn echte locatie kan veranderen ten opzichte van gps-satellieten. Verder is het ‘heel comfortabel om satellietinternet te hebben op mijn boot’ en klikt hij nooit op linkjes in persoonlijke berichtjes waarmee hij zijn ip-adres zou kunnen verraden aan opsporingsdiensten.
Cops in cyberspace 