Een coalitie van internationale handhavingsdiensten heeft de digitale infrastructuur van LockBit offline gehaald. Wie de pagina’s van de hackersgroep op het dark web bezoekt, krijgt een splash page te zien dat de domeinnamen in beslag zijn genomen. Een woordvoerder van LockBit zegt dat de back-upbestanden veilig zijn. Dat bevestigen Amerikaanse en Britse autoriteiten tegenover het Amerikaanse persbureau Reuters (1).
Het uit de lucht halen van de digitale infrastructuur gebeurde onder de noemer ‘Operatie Cronos’. Het Britse National Crime Agency (NCA), de FBI, Europol en handhavingsinstanties uit Nederland, Duitsland, Zwitserland, Frankrijk, Zweden, Finland, Canada en Japan hielpen bij deze politieactie. Wie het dark web portaal en andere pagina’s van de hackersgroep bezoekt of het LockBit panel opent, krijgt de melding dat de domeinnaam in beslag is genomen bij een internationale handhavingsactie.
Volgens vx-underground (2), een kanaal op X dat cybercrimenieuws en hackersactiviteiten op de voet volgt, heeft LockBit na de inbeslagname een e-mail gestuurd naar alle affiliates die de ransomware van de hackersgroep afnemen. Daarin schrijft de groep dat er een ‘security incident’ heeft plaatsgevonden waarbij mogelijk persoonlijke gegevens zijn buitgemaakt, waaronder namen, e-mailadressen en versleutelde wachtwoorden.
LockBit roept affiliates op om hun wachtwoord te resetten, multifactorauthenticatie (MFA) in te schakelen en hun online accounts in de gaten te houden.
De hackersgroep claimt (3) dat de handhavingsdiensten misbruik hebben gemaakt van een kwetsbaarheid die bekendstaat als CVE-2023-3824 (4). Dat is een exploit die misbruikt kan worden voor Remote Code Execution (RCE). Dat is een type aanval waarbij kwaadwillenden op afstand opdrachten uitvoeren om malware op het netwerk van hun slachtoffer te installeren.
Via Tox, een applicatie om versleutelde berichten mee te versturen, zou LockBit hebben gezegd dat de handhavingsinstanties geen toegang hadden tot de back-upbestanden van de groep. De gelegenheidscoalitie zegt op zijn beurt dat ze de broncode van de gijzelsoftware, details van slachtoffers, financiële informatie, chatberichten en ‘nog veel en veel meer’ gegevens hebben bemachtigd.
LockBit is een hackersgroep die sinds september 2019 actief is. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) is LockBit de meest actieve ransomwaregroep ter wereld. Het hackerscollectief zou wereldwijd al meer dan 1.700 cyberaanvallen hebben uitgevoerd. Don Smith, vicepresident van cybersecuritybedrijf Secureworks, vertelt tegenover Reuters dat LockBit verantwoordelijk is voor 25 procent van de totale ransomwaremarkt.
De hackersgroep gebruikt gijzelsoftware om bedrijven en organisaties af te persen. Leden van de groep ontwikkelen de gijzelsoftware niet zelf, maar huren deze van hackers die technisch goed onderlegd zijn. In ruil hiervoor krijgt de ontwikkelaar een deel van de opbrengst. Hij is niet direct betrokken bij een cyberaanval. Dit verdienmodel noemen we ook wel Ransomware-as-a-Service (RaaS).
Beveiligingsexperts houden LockBit verantwoordelijk voor diverse spraakmakende cyberaanvallen en datalekken, waaronder bij de Britse pakketdienst Royal Mail, vliegtuigfabrikant Boeing, meerdere Duitse ziekenhuizen en broodjesketen Subway. Ook tientallen Nederlandse bedrijven en organisaties zouden het slachtoffer zijn geweest van de hackersgroep, zoals de Koninklijke Nederlandse Voetbalbond (KNVB), de Brabantse zorginstelling Joris Zorg en wellnessresort Thermae2000.
(1) https://www.reuters.com/technology/cybersecurity/lockbit-cybercrime-gang-disrupted-by-international-police-operation-2024-02-19/
(2) https://twitter.com/vxunderground/status/1759795956218778068
(3) https://twitter.com/vxunderground/status/1759732862335504773
(4) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3824
