De activiteiten van de LockBit Ransomware Gang werden stopgezet met arrestaties en aanklachten
De illegale activiteiten van de LockBit-ransomwarebende zijn aanzienlijk verstoord door de recente aankondiging van de Britse National Crime Agency (NCA). De NCA maakte bekend dat het met succes de broncode van LockBit had verworven en informatie had verzameld over zijn operaties en geassocieerde groepen via Operatie Cronos, een speciale taskforce.
Een belangrijke onthulling van de NCA is dat de gevonden gegevens op de systemen van LockBit informatie bevatten van slachtoffers die al losgeld hadden betaald, wat in tegenspraak was met de beloften van de criminelen om dergelijke gegevens te verwijderen. Dit onderstreept de risico's die gepaard gaan met het voldoen aan losgeldeisen.
Verder bevestigde de NCA de arrestatie van twee personen die verbonden zijn met LockBit in Polen en Oekraïne. Bovendien zijn meer dan 200 cryptocurrency-accounts die aan de groep zijn gekoppeld bevroren en zijn in de VS aanklachten geopend tegen twee Russische staatsburgers die naar verluidt betrokken waren bij LockBit-aanvallen.
Artur Sungatov en Ivan Gennadievich Kondratiev, beter bekend als Bassterlord, zijn ervan beschuldigd LockBit in te zetten tegen talloze slachtoffers, waaronder bedrijven in verschillende sectoren in de VS en wereldwijd. Kondratyev wordt geconfronteerd met extra aanklachten in verband met het gebruik van de Sodinokibi (REvil) ransomware-variant.
De recente acties komen na een internationale poging om LockBit te ontwrichten, door de NCA beschreven als een van de schadelijkste cybercriminaliteitsgroepen ter wereld. Als onderdeel van de operatie nam het bureau de controle over de diensten van LockBit over en infiltreerde het hele criminele netwerk, inclusief aangesloten beheeromgevingen en dark web-leksites.
Bovendien zijn 34 servers van LockBit-filialen ontmanteld en hebben de autoriteiten meer dan 1.000 decoderingssleutels van in beslag genomen servers opgehaald. LockBit, actief sinds eind 2019, werkt op een ransomware-as-a-service-model, waarbij encryptors in licentie worden gegeven aan aangesloten bedrijven die aanvallen uitvoeren in ruil voor een deel van het losgeld.
De aanvallen van LockBit maken gebruik van dubbele afpersingstactieken, waarbij gevoelige gegevens worden gestolen voordat ze worden versleuteld, waardoor de druk op slachtoffers wordt vergroot om te betalen om gegevenslekken te voorkomen. De groep heeft ook geëxperimenteerd met drievoudige afpersing, waarbij DDoS-aanvallen werden gecombineerd met traditionele losgeldtactieken.
Aangepaste tools zoals StealBit faciliteren data-exfiltratie, waarbij autoriteiten beslag leggen op de infrastructuur die wordt gebruikt voor het organiseren en overdragen van slachtoffergegevens. Volgens Eurojust en het DoJ hebben LockBit-aanvallen wereldwijd ruim 2.500 slachtoffers getroffen, waarbij illegale winsten van meer dan 120 miljoen dollar zijn gegenereerd.
NCA-directeur-generaal Graeme Biggar benadrukte het succes van de gezamenlijke inspanning om de activiteiten van LockBit te verlammen, waarbij hij de nadruk legde op de verwerving van cruciale sleutels om slachtoffers te helpen bij het ontsleutelen van hun systemen. Hij waarschuwde ook dat hoewel LockBit zou kunnen proberen het land weer op te bouwen, de wetshandhavingsinstanties zich bewust zijn van hun identiteit en methoden, wat wijst op een aanzienlijke klap voor hun geloofwaardigheid en capaciteiten.