Een internationale politieoperatie heeft geleid tot de inbeslagname van meerdere domeinen die werden beheerd door LockBit. Zij waren één van de meest actieve ransomware groepen die voor grote schade bij organisaties wereldwijd hebben gezorgd. De verwachting is dat de dreiging omtrent ransomware aanvallen merkbaar verminderd is dankzij deze actie. Wellicht heb je in de voorbije weken al een en ander in de media voorbij zien komen. In deze update zetten we graag alles even op een rij: dit artikel bevat alle verwijzingen naar waar je terecht kunt om je voldoende te verdedigen – of, in geval van een LockBit aanval, sleutels kunt vinden om je data weer te verkrijgen.

Operatie Cronos

Hoewel de volledige omvang van de politieactie, welke is uitgevoerd met de codenaam Operatie Cronos, momenteel niet geheel duidelijk is, toont een bezoek aan de .onion website van de groep een boodschap “De site staat nu onder controle van de wetshandhaving.” De .onion website is een website dat alleen via het dark web te bezoeken is en wat door LockBit gebruikt werd om onderling en met andere kwaadwillenden te communiceren en nieuwe aanvallen uit te voeren.

Autoriteiten uit 11 landen, te weten Australië, Canada, Finland, Frankrijk, Duitsland, Japan, Nederland, Zweden, Zwitserland, het Verenigd Koninkrijk en de Verenigde Staten, samen met Europol, namen deel aan de gezamenlijke actie met als doel om de groep achter LockBit te dwingen om te stoppen.

Actie geslaagd door kwetsbaarheid bij LockBit’s website

De malware onderzoeksgroep VX-Underground plaatste een bericht op X (voorheen Twitter) waarin staat dat de websites van LockBit werden neergehaald door een kwetsbaarheid in de broncode van de website te misbruiken. Dit heeft geresulteerd in de mogelijkheid om zogeheten remote code execution uit te voeren, waardoor de autoriteiten op afstand de controle over konden nemen van de website.

De autoriteiten lieten ook een bericht achter op het forum van LockBit, waarin ze verklaarden dat ze in het bezit zijn van de “broncode, details van de slachtoffers die zijn aangevallen, het geëiste geldbedrag, de gestolen data, chats, en nog veel, veel meer”.

LockBit, dat op 3 september 2019 opdook, is ééen van de meest actieve en beruchte ransomwarebendes in de geschiedenis geweest, met meer dan 2000 slachtoffers tot op heden. Het wordt geschat dat ze alleen al van Amerikaanse organisaties minstens €84 miljoen hebben geëist. Het heeft minstens 1.000 wereldwijde slachtoffers gemaakt en ook bedrijven in Nederland zijn geraakt door dit type ransomware. Volgens gegevens gedeeld door cybersecurity bedrijf ReliaQuest, vermeldde LockBit 275 slachtoffers op hun forum in het vierde kwartaal van 2023, wat verreweg al zijn concurrenten overtreft.

Decryptietool en verdere details

Inmiddels is er door het samenwerkingsverband van nationale en internationale politiediensten meer bekendgemaakt over het aanpakken van de ransomwarebende Lockbit. Zo zijn er tientallen Lockbit-servers offline gehaald en zijn enkele verdachten gearresteerd. Specifiek zijn er meer dan dertig servers van de ransomwarebende offline gehaald, waarvan de cybercrimeafdelingen van de Nederlandse politie Oost-Brabant en Zeeland-West-Brabant dertien servers offline hebben gehaald. Ook in Duitsland, Finland, Frankrijk, Zwitserland, de Verenigde Staten en het Verenigd Koninkrijk zijn servers van Lockbit opgerold.

Bovendien is er een decryptietool ontwikkeld. De Japanse nationale politie heeft deze in samenwerking met Europol, de FBI en de NCA op NoMoreRansom gepubliceerd. Met de tool kunnen getroffenen systemen geïnfecteerd met Lockbit-ransomware ontgrendelen.

Op de gelinkte website staan volgens Europol 120 decryptietools voor 150 ransomwarevarianten, waar volgens de politieorganisatie zes miljoen mensen al door geholpen zijn. Lockbit is volgens verschillende bronnen de meest gebruikte en doeltreffende gijzelsoftware.

Er zijn tot dusver twee arrestaties verricht. Dat gebeurde in Polen en Oekraïne; de verdachten zouden betrokken zijn bij de ransomwarebende. Op de voormalige website van de bende staat dat de FBI ook meerdere aanklachten heeft ingediend tegen affiliates die Lockbit als softwareservicedienst afnamen om geld van slachtoffers te ontfutselen. Lockbit verdiende veel geld met die ransomware-as-a-servicemodel. De politiediensten melden dat ruim 200 cryptovaluta-accounts in beslag zijn genomen.

De politiediensten stellen dat de infrastructuur van Lockbit volledig is opgerold. Zowel de bende zelf als betrokkenen die de ransomware-as-a-service afnamen, zouden hierdoor belemmerd worden. Er zou tijdens de actie veel aandacht zijn gegaan naar de ‘exfiltratiekanalen’, ofwel de manieren waarop de criminelen geld wisten te verdienen en wegsluizen.

Comeback en nieuwe aanpak

Inmiddels maakt LockBit ransomware al een comeback, vanuit nieuw ingerichte operaties. Dit is slechts enkele dagen nadat de autoriteiten ingrepen door hun servers te hacken. LockBit dreigt nu om de aanvallen op overheidsinstanties te intensiveren. De groep schetste hun plannen voor de toekomst en erkende hun eigen tekortkomingen die de inbreuk mogelijk hebben gemaakt op hun eigen forum.

De verstoring van de infrastructuur van LockBit vond plaats op 19 februari. Hierbij ontmantelden autoriteiten, onder de naam Operatie Cronos, uit verschillende landen tientallen servers die essentiële componenten voor LockBit hostten, zoals de website voor datalekken, gestolen data-archieven, cryptocurrency-adressen, decryptiesleutels en hun partnerpaneel waarmee andere kwaadwillenden gebruik konden maken van dit type ransomware. Ondanks deze tegenslag kwam LockBit binnen vijf dagen weer terug, met inzichten in de inbreuk en strategieën om hun operaties te versterken tegen toekomstige inbraken.

Na de interventie door de autoriteiten gaf LockBit toe dat dit gelukt was en schreef deze toe aan hun nalatigheid om PHP op specifieke servers bij te werken. Ze verduidelijkten dat hoewel servers met PHP waren gecompromitteerd, de servers zonder PHP onaangetast bleven. In hun berichtgeving schreven zij over hun tekortkomingen, waarbij ze “persoonlijke nalatigheid en onverantwoordelijkheid” noemden als factoren die bijdroegen aan de verstoring.

Overheid zal vaker als doelwit gezien worden

Afgelopen dagen verplaatste LockBit hun datalek-site naar een nieuw .onion-adres, met een lijst van slachtoffers en een countdown voor de publicatie van gestolen gegevens. Speculerend over de motieven achter de interventie van de autoriteiten, verwees LockBit naar hun ransomware-aanval op Fulton County in januari. Hierbij is gevoelige informatie met betrekking tot de juridische zaken van Donald Trump gestolen, waarbij implicaties voor de Amerikaanse verkiezingen werden gesuggereerd. Dit bracht LockBit ertoe om te overwegen vaker overheidssectoren als doelwit te selecteren om de capaciteiten van de wetshandhaving te testen.

In de nasleep van Operatie Cronos besprak LockBit de verzameling van decryptiesleutels door de autoriteiten, waarbij het verkrijgen van sleutels van “onbeschermde decryptors” werd benadrukt. Ze onthulden plannen om de beveiliging van de infrastructuur te verbeteren door decryptors handmatig vrij te geven, zelf aanvullende tests uit te voeren om hun eigen veiligheid te testen en het partnerpaneel over meerdere servers te verdelen, afgestemd op het vertrouwensniveau van partners.

LockBit decryptietool

De Japanse nationale politie heeft deze in samenwerking met Europol, de FBI en de NCA op NoMoreRansom gepubliceerd. Met de tool kunnen getroffenen systemen geïnfecteerd met Lockbit-ransomware ontgrendelen.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht