LockBit ransomware groep door Europol aangepakt
Als belangrijke doorbraak in de strijd tegen cybercriminaliteit hebben wetshandhavers uit tien landen de criminele activiteiten van de LockBit-ransomwaregroep op elk niveau verstoord, waardoor hun capaciteiten en geloofwaardigheid ernstig zijn geschaad. LockBit hackers wisten onder andere in 2023 de KNVB te hacken en waarna er betaling werd gedaan.
Europol meldt: 'LockBit wordt algemeen erkend als de meest productieve en schadelijke ransomware ter wereld, die voor miljarden euro's aan schade veroorzaakt.
Deze internationale actie volgt op een complex onderzoek onder leiding van de Britse National Crime Agency in het kader van een internationale taskforce bekend als 'Operatie Cronos', op Europees niveau gecoördineerd door Europol en Eurojust.
De maandenlange operatie heeft geresulteerd in het compromitteren van het primaire platform van LockBit en andere kritieke infrastructuur die hun criminele onderneming mogelijk maakte. Dit omvat de verwijdering van 34 servers in Nederland, Duitsland, Finland, Frankrijk, Zwitserland, Australië, de Verenigde Staten en het Verenigd Koninkrijk.
Daarnaast zijn op verzoek van de Franse justitie twee LockBit-acteurs gearresteerd in Polen en Oekraïne. Er zijn ook drie internationale arrestatiebevelen en vijf aanklachten uitgevaardigd door de Franse en Amerikaanse gerechtelijke autoriteiten.
De autoriteiten hebben meer dan 200 cryptocurrency-accounts die gelinkt zijn aan de criminele organisatie bevroren, wat de inzet onderstreept om de economische prikkels die ransomware-aanvallen aandrijven te verstoren.
De Britse National Crime Agency heeft nu de controle overgenomen over de technische infrastructuur waarmee alle elementen van de LockBit-service kunnen werken, evenals over hun leksite op het dark web, waar ze eerder de gegevens hosten die waren gestolen van slachtoffers bij ransomware-aanvallen.
Momenteel is een enorme hoeveelheid gegevens die tijdens het onderzoek zijn verzameld, nu in het bezit van de wetshandhavingsinstanties. Deze gegevens zullen worden gebruikt ter ondersteuning van lopende internationale operationele activiteiten die gericht zijn op het aanvallen van de leiders van deze groep, evenals op ontwikkelaars, aangesloten bedrijven, infrastructuur en criminele activa die verband houden met deze criminele activiteiten.
De meest schadelijke ransomware ter wereld
LockBit verscheen eind 2019 voor het eerst en noemde zichzelf eerst 'ABCD'-ransomware. Sindsdien is het snel gegroeid en in 2022 werd het de meest gebruikte ransomwarevariant ter wereld.
De groep is een 'ransomware-as-a-service'-operatie, wat betekent dat een kernteam de malware maakt en de website beheert, terwijl de code in licentie wordt gegeven aan aangesloten bedrijven die aanvallen lanceren.
De aanvalsaanwezigheid van LockBit wordt wereldwijd gezien, waarbij honderden aangesloten bedrijven worden gerekruteerd om ransomware-operaties uit te voeren met behulp van LockBit-tools en -infrastructuur. De losgeldbetalingen werden verdeeld tussen het kernteam van LockBit en de aangesloten bedrijven, die gemiddeld driekwart van de geïnde losgeldbetalingen ontvingen.
De ransomwaregroep is ook berucht vanwege het experimenteren met nieuwe methoden om hun slachtoffers onder druk te zetten om losgeld te betalen. Drievoudige afpersing is zo'n methode die de traditionele methoden omvat van het versleutelen van de gegevens van het slachtoffer en het dreigen deze te lekken, maar ook Distributed Denial-of-Service (DDoS)-aanvallen als extra druklaag.
De stap van de bende naar drievoudige afpersing werd gedeeltelijk beïnvloed door een DDoS-aanval die zij zelf hadden meegemaakt, waardoor ze niet meer in staat waren gestolen gegevens te publiceren. Als reactie hierop heeft LockBit hun infrastructuur verbeterd om dergelijke aanvallen te weerstaan.
Deze infrastructuur staat nu onder toezicht van de wetshandhaving, en meer dan 14.000 malafide accounts die verantwoordelijk zijn voor exfiltratie of infrastructuur zijn door de wetshandhavingsinstanties geïdentificeerd en ter verwijdering doorverwezen.
De coördinerende rol van Europol
Met landen aan weerszijden van de wereld betrokken, speelde Europol – waar het grootste netwerk van verbindingsofficieren uit de EU-lidstaten ter wereld is gevestigd – een centrale rol bij het coördineren van de internationale activiteiten.
Het European Cybercrime Centre (EC3) van Europol organiseerde 27 operationele bijeenkomsten en vier technische sprints van een week om de onderzoeksaanknopingspunten te ontwikkelen ter voorbereiding op de laatste fase van het onderzoek.
Europol leverde ook analytische, crypto-tracering en forensische ondersteuning aan het onderzoek, en faciliteerde de informatie-uitwisseling in het kader van de Joint Cybercrime Action Taskforce (J-CAT), die op zijn hoofdkantoor gehuisvest was. Daarnaast werden tijdens de actiefase drie deskundigen van Europol ingezet op de commandopost in Londen.
In totaal zijn er ruim 1.000 operationele berichten over deze zaak uitgewisseld via het beveiligde informatiekanaal SIENA van Europol, waardoor het een van de meest actieve onderzoeken van EC3 is.
De zaak werd in april 2022 bij Eurojust geopend op verzoek van de Franse autoriteiten. Het Agentschap organiseerde vijf coördinatievergaderingen om de justitiële samenwerking te vergemakkelijken en de gezamenlijke actie voor te bereiden.
Decoderingstools beschikbaar op No More Ransom
Met de steun van Europol hebben de Japanse politie, de National Crime Agency en het Federal Bureau of Investigation hun technische expertise geconcentreerd op de ontwikkeling van decoderingstools die zijn ontworpen om bestanden te herstellen die zijn gecodeerd door de LockBit Ransomware.
Deze oplossingen zijn gratis beschikbaar gesteld op het 'No More Ransom'-portaal, beschikbaar in 37 talen. Tot nu toe hebben meer dan 6 miljoen slachtoffers over de hele wereld geprofiteerd van No More Ransom, dat meer dan 120 oplossingen bevat die in staat zijn om meer dan 150 verschillende soorten ransomware te ontsleutelen.
Meld het bij de politie
Dit onderzoek toont aan dat rechtshandhavingsinstanties de capaciteiten hebben om cybercriminelen met grote schade te onderdrukken en de ransomware-dreiging te verminderen. Voortdurende betrokkenheid van slachtoffers en de particuliere sector is echter van cruciaal belang voor de voortzetting van dit werk.
De eerste stap om cybercriminelen achter de tralies te krijgen, is het melden van cybercriminaliteit wanneer deze zich voordoet. Hoe eerder mensen zich melden, hoe sneller de wetshandhaving nieuwe methoden kan beoordelen en de schade die deze kan veroorzaken kan beperken.
Het melden van cybercriminaliteit kan zo eenvoudig zijn als het klikken op een knop in een webbrowser. Europol heeft een lijst samengesteld van de rapportagewebsites in de EU-lidstaten.
Robuuste cyberbeveiligingsmaatregelen zijn ook van cruciaal belang. Europol heeft enkele tips en advies samengesteld over hoe u kunt voorkomen dat ransomware uw elektronische apparaten infecteert.'
Taskforce Operatie Cronos
Deze activiteit maakt deel uit van een voortdurende, gezamenlijke campagne van de internationale Operation Cronos-taskforce om de LockBit-ransomware aan te pakken en te ontwrichten. De volgende autoriteiten maken deel uit van deze taskforce:
- Frankrijk: Nationale Gendarmerie (Gendarmerie Nationale – Unité nationale cyber C3N)
- Duitsland: Staatsbureau voor strafrechtelijk onderzoek Sleeswijk-Holstein (LKA Sleeswijk-Holstein), Federaal Recherchebureau (Bundeskriminalamt)
- Nederland: Nationale Politie (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) & Openbaar Ministerie Zeeland-West-Brabant
- Zweden: Zweedse politieautoriteit
- Australië: Australische federale politie (AFP)
- Canada: Royal Canadian Mounted Police (RCMP)
- Japan: Nationale Politiedienst (警察庁)
- Verenigd Koninkrijk: National Crime Agency (NCA), South West Regional Organised Crime Unit (South West ROCU)
- Verenigde Staten: Amerikaans ministerie van Justitie (DOJ), Federal Bureau of Investigation (FBI) Newark
- Zwitserland: Zwitserse federale politie (fedpol), parket van het kanton Zürich, kantonpolitie van Zürich
De succesvolle actie werd mogelijk gemaakt dankzij de steun van de volgende landen:
- Finland: Nationale Politie (Poliisi)
- Polen: Centraal Cybercriminaliteitsbureau Krakau ( Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie)
- Nieuw-Zeeland: Nieuw-Zeelandse politie (Nga Pirihimana O Aotearoa)
- Oekraïne: Bureau van de procureur-generaal van Oekraïne (Офіс Генерального прокурора України), Afdeling Cyberbeveiliging van de Veiligheidsdienst van Oekraïne (Служба безпеки України), Nationale Politie van Oekraïne (Національна поліція України)