LockBit is dan toch (nog) niet op de knieën gekregen door een internationale politieoperatie. Hoe kon de groepering zo snel terugkeren en kan je ze wel definitief verslaan?
LockBit is terug van eigenlijk nooit weggeweest. Amper een week geleden verkondigde het Britse cybersecurityagentschap NCA de overwinning op de beruchte hackersgroepering. Met een korte mededeling op de website, als ware het een organisatie die slachtoffer is geworden van één van hun eigen campagnes, laat LockBit weten dat het nog lang niet van plan is om op te houden.
De naam LockBit is de laatste jaren vaak genoemd bij grootschalige cybercrimecampagnes op Westerse organisaties, ook in ons land. De hackers, die vermeende banden met het Russische regime hebben, zijn sinds 2020 zeer actief en maakten wereldwijd vijanden. Tot hun lijst slachtoffers horen grote namen zoals Boeing, maar de groepering veroorzaakte vooral ophef door (kinder)ziekenhuizen aan te vallen. Hoe is het mogelijk dat de groep na enkele dagen alweer operationeel is?
Sneeuwbaleffect
De snelle terugkeer van LockBit komt voor Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense, niet als een verrassing. “Bij deze operatie zijn slechts twee mensen gearresteerd en drie internationale aanhoudingsbevelen uitgevaardigd. Het aantal gearresteerde criminelen is laag ten opzichte van de schaal en grootte waarmee LockBit de afgelopen vier jaar consistent slachtoffers maakte”, zegt hij in een schriftelijke reactie.
Ook Derek Manky, Global VP voor Threat Intel van Fortinet, is niet verbaasd. “Groepen zoals LockBit kunnen teren op jarenlange ervaring. Ze weten dat ze verstoord kunnen worden, dus bouwen ze een weerbare infrastructuur op. Servers neerhalen is maar een deel van de puzzel. LockBit is ook niet één persoon: er zit een gedecentraliseerd netwerk achter. Dit ‘sneeuwbaleffect’ maakt het moeilijk om een groep in zijn geheel op te rollen: als een kopstuk wegvalt, staan er opvolgers klaar.”
Als een kopstuk van een hackersgroepering wegvalt, staan er opvolgers klaar.
Derek Manky, Fortinet
Aanbieders en klanten
Een groepering zoals LockBit opereert niet in vacuüm. De groep heeft zich opgewerkt tot een belangrijke partij in de ‘ransomware-as-a-service’-economie. Dat betekent dat LockBit ransomware die het ontwikkelt ook doorverkoopt aan andere hackersgroeperingen, als ware het een legitiem softwarebedrijf. “Als vergoeding vragen ze een deel van de opbrengst: vaak is dat twintig tot vijfentwintig procent. LockBit is groot geworden in de criminele onderwereld omdat het het beste ‘aanbod’ had”, aldus Van der Perre.
Om haar ransomware te mogen gebruiken, legt de groepering wel enkele regels op, die in deze blog van Fortinet worden opgesomd. ‘Klanten’ mogen data stelen van bedrijven uit kritieke infrastructuren, maar die niet encrypteren, en ook aanvallen op Rusland en enkele post-Sovjet-landen zijn niet toegelaten. Voor de rest is alles toegestaan: vzw’s, kinderziekenhuizen, … Aanvallen op niet-Russisch gezinde overheden en politiediensten worden zelfs aangemoedigd.
“Ransomware is uitgegroeid tot een zeer lucratieve business. Hackers worden selectiever in aan wie ze hun software doorverkopen: ze hanteren bij wijze van spreken een ‘gebruikershandleiding’. Onderling vertrouwen, in de mate dat dat kan bestaan tussen criminele organisaties, wordt steeds belangrijker in het milieu”, legt Manky uit.
De aanval op LockBit zou diens reputatie in het cybercrimemilieu wel degelijk kunnen schaden. Manky: “Dat verklaart ook waarom de groepering nu openlijk communiceert over het operatie: ze moet opnieuw aan haar netwerk bewijzen dat ze een ‘betrouwbare leverancier’ is. Lukt dat niet, staan andere bendes klaar om de positie over te nemen. Turf wars komen ook in de digitale onderwereld regelmatig voor.”
‘Turf wars’ komen ook in de digitale onderwereld regelmatig voor.
Derek Manky, Fortinet
De oorlog is nog niet gestreden
De politie heeft dan een kleine slag gewonnen, maar de oorlog is nog lang niet gestreden. LockBit verkondigt dat het zal terugslaan met meer aanvallen op overheidsdiensten om de politie ‘uit te dagen’. Dit dreigement ligt in lijn met evoluties in cybercriminaliteit die zich volgens Manky al langer afspelen. “Cybercrime verschuift richting de publieke sector. Hoe kritieker de rol van een organisatie, hoe hoger de nood om systemen snel online te krijgen en met dus een hogere kans voor de criminelen om grote geldsommen te krijgen.”
“Het playbook van cybercriminelen evolueert”, gaat Manky verder. “We zien destructieve aanvallen vaker en vaker voorkomen: hackers gaan agressiever te werk. Cyberaanvallen beperken zich ook al lang niet meer tot pc’s. Omdat IT- en OT-netwerken samenvloeien, verspreiden aanvallen richting OT-ecosystemen.”
Manky blijft strijdvaardig. “Een wereld zonder cybercriminaliteit zal misschien moeilijk te bereiken zijn, maar operaties zoals deze hebben wel degelijk een nut. Al is het maar om de boodschap te verzenden dat we ons niet zomaar laten doen. Maar om blijvend effect te hebben, is het van belang dat zoveel mogelijk stakeholders mee betrokken worden en we niet in silo’s werken. Hier is de laatste jaren een positieve kentering in gekomen”, besluit hij op een optimistische noot.