- Geschreven door Gordon Corera
- Veiligheidscorrespondent, BBC News
Afbeeldingsbron, Getty-afbeeldingen
Groot-Brittannië heeft een operatie geleid om de vermoedelijk grootste ransomware-criminele groep ter wereld te ontwrichten.
De National Crime Agency (NCA) heeft de systemen van Lockbit gehackt en hun gegevens gestolen.
De organisatie is vermoedelijk in Rusland gevestigd en is qua volume de meest productieve ransomwaregroep die diensten aan andere criminelen verkoopt.
Maandagavond verscheen er een bericht op de website van Lockbit, waarin stond dat het ‘nu onder controle stond van de wetshandhaving’.
De operatie wordt beschreven als een van de grootste verstoringen in de wereld van cybercriminaliteit. De FBI, Europol en andere landen waren ook betrokken bij de langlopende operatie, maar het is de eerste in zijn soort onder leiding van Groot-Brittannië.
Criminelen gebruiken Lockbit om computers van bedrijven en organisaties te hacken en gebruikers buiten te sluiten totdat het losgeld is betaald. Ze stelen ook vaak gegevens en dreigen deze te publiceren.
De groep ontstond rond 2019 en heeft zich gevestigd als een dominante speler. Sommige schattingen suggereren dat het ongeveer 20-25% van de ransomwaremarkt in handen heeft.
Het bericht verschijnt op de LockBit-website nadat het door wetshandhavingsinstanties is onderschept
Een van de spraakmakende doelwitten van Lockbit is Royal Mail, dat in januari 2023 werd getroffen en internationale leveringen verstoorde. Afgelopen november ondervond ook de Industrial and Commercial Bank of China (ICBC) grote gevolgen in de financiële wereld. Andere bedrijven die naar verluidt getroffen zijn, zijn onder meer leveranciers van de NHS, advocatenkantoor Allen & Overy en Boeing, de luchtvaartmaatschappij.
De operatie was al een tijdje in het geheim aan de gang, waarbij wetshandhavingsinstanties gegevens verzamelden voordat ze maandagavond naar een meer publieke fase gingen.
De technische experts van NCA konden de privésystemen van Lockbit binnendringen en de controle overnemen. Daarbij konden ze een groot deel van de gegevens van de criminele groep over haar activiteiten stelen.
Omdat veel bedrijven niet toegeven dat ze zijn gehackt en soms het losgeld betalen, kunnen deze gegevens ook een uniek inzicht verschaffen in de ware omvang van het werk van de groep.
Toen ze de meer open fase van de operatie ingingen, kondigden de wetshandhavingsautoriteiten hun infiltratie aan.
Ze namen de site op het dark web over, waarbij Lockbit reclame maakte voor zijn activiteiten en deze verving door de logo’s van verschillende wetshandhavingsinstanties en een bericht met de tekst: “De site staat onder controle van de Britse National Crime Agency, die nauw samenwerkt met de FBI en de International Law Enforcement Task Force”, aldus het Chronos-proces.
Op een persconferentie dinsdagochtend zei Graeme Biggar, hoofd van het National Crime Agency, dat hij oordeelde dat de groep vorig jaar verantwoordelijk was voor 25% van de ransomware-aanvallen.
Hij wees erop dat de gebeurtenissen tot miljardenverliezen hebben geleid. Hij zei dat er wereldwijd duizenden slachtoffers waren, waaronder 200 bekende mensen in Groot-Brittannië, hoewel hij eraan toevoegde dat het er in werkelijkheid waarschijnlijk nog veel meer waren.
Bekijk: Wat is ransomware en hoe werkt het?
Lockbit opereert door zijn criminele diensten te verkopen en fungeert als een one-stop-shop voor klanten die bekend staan als affiliates.
Deze aangesloten bedrijven betalen voor de mogelijkheid om hacks uit te voeren en malware en tips te ontvangen.
Maar na de actie van de wetshandhaving werden aangeslotenen die probeerden in te loggen op de site begroet met een ander bericht waarin werd uitgelegd dat de interne gegevens van Lockbit nu in handen waren van de wetshandhaving, inclusief details van de slachtoffers, de hoeveelheid afgeperst geld “en nog veel meer. ” Nog veel meer.” Het bericht voegt eraan toe: “Misschien nemen we binnenkort contact met u op.”
Er zijn in het verleden zogenaamde 'takedowns' geweest, maar in veel gevallen doken criminele groepen weer op kort nadat hun online activiteiten door wetshandhavers waren verstoord, waardoor de gevolgen op de lange termijn beperkt bleven.
Maar in dit geval hopen degenen achter de operatie een grotere invloed te hebben door de geloofwaardigheid van de groep te ondermijnen en haar reputatie aan te vallen. De collectie leunt sterk op merken. Er werden zelfs mensen betaald om het merk Lockbit op hun lichaam te tatoeëren.
Het doel is om wantrouwen te zaaien door aangesloten bedrijven te laten beseffen dat wetshandhavingsinstanties nu over hun gegevens beschikken en een wig te drijven tussen hen en degenen die Lockbit runnen door andere criminelen te laten geloven dat samenwerking met hen in de toekomst een risico met zich meebrengt uit angst voor toezicht door de wetshandhaving. .
Degenen die direct betrokken zijn bij de operatie zeggen dat ze geloven dat Groot-Brittannië op de korte tot middellange termijn aanzienlijk veiliger zal zijn tegen cyberaanvallen en omschrijven deze stap als een “stapsverandering” in de reactie op cybercriminaliteit.
“Volledig eigendom” – “Een van de grootste tegenslagen ooit”
Kieran Martin, voormalig hoofd van de Britse nationale cyberveiligheid, zei: “Op het eerste gezicht is dit een van de grootste verstoringen ooit tegen een ransomware-gigant, en zeker de grootste operatie ooit onder leiding van de Britse politie.” Dat vertelde het centrum aan de BBC.
“Er zijn weinig of geen grotere spelers dan Lockbit op het gebied van ransomware, en de NCA lijkt alles te 'bezitten', zoals we dat zeggen in cybersecurity,” voegde hij eraan toe.
Er wordt aangenomen dat de mensen achter de Lockbit-groep in Rusland zijn gevestigd, wat betekent dat ze, net als andere soortgelijke groepen, buiten het bereik van de politie zijn voor arrestatie. Dit betekent dat verstoring vaak de enige realistische optie is om hun werk te ondermijnen, laat staan de cyberverdediging te verbeteren.
Toen de FBI vorig jaar een soortgelijke operatie uitvoerde tegen een groep genaamd Blackcat, leidde dit tot een strijd om de controle over de locatie tussen de groep en de Amerikaanse wetshandhavingsinstanties, een teken dat dergelijke operaties niet altijd volgens plan verlopen.
Maar de hoop is dat deze operatie, met de publieke bekendmaking van de activiteiten van Lockbit, deze voldoende zal verstoren om een snelle terugkeer te voorkomen.
“Trotse twitterliefhebber. Introvert. Hardcore alcoholverslaafde. Levenslange voedselspecialist. Internetgoeroe.”
