De Russische hackersgroepering LockBit is zelf gehackt. Een database met geheime interne informatie is gelekt.
LockBit heeft een koekje van eigen deeg gekregen. Een database met vermeende chatgesprekken en gevoelige interne operationele informatie is uitgelekt door een onbekende actor, die vermoedelijk uit Tsjechië komt. Dat valt in ieder geval af te leiden uit de boodschap die de actor bij een downloadlink heeft geplaatst: Don’t do crime CRIME IS BAD xoxo from Prague.
De database bevat naast chatgesprekken tussen de hackers nog andere gevoelige gegevens, zoals 60.000 unieke Bitcoin-adressen, conversaties tussen LockBit en zijn slachtoffers en code van ransomware. Het lek biedt zo een unieke inkijk in hoe LockBit te werk gaat en kan een potentiële ‘goudmijn’ zijn voor politiediensten, schrijft Cybersecuritynews. Via de Bitcoin-portfeuilles kunnen bijvoorbeeld betalingen van losgeld getraceerd worden. Beveiligingsexperten bevestigen de authenticiteit van de gelekte database.
Hackers blijken zelf niet altijd de beste beveiliging toe te passen. Zo zou LockBit wachtwoorden van 75 accounts die betrokken zijn bij de organisatie in leesbare tekst hebben bewaard. Een pijnlijke blunder die de hackers genadeloos zou afstraffen.
Gevallen grootmacht
Onderlinge strijd in het hackersmilieu is niet vreemd, maar tot twee jaar geleden was het ondenkbaar dat iemand LockBit zou durven aanvallen. De Russische groepering stond in 2023 nog bovenaan de ransomwareketen, en was op zijn hoogtepunt goed voor bijna de helft van ransomware-aanvallen wereldwijd. LockBit maakte wereldwijd slachtoffers.
Daar kwam vorig jaar verandering in, toen een grootschalige internationale politieactie de activiteiten van LockBit aan banden legde. De groepering kwam snel terug, maar in het hackersmilieu is reputatie alles. De reputatie van LockBit had door de politieactie een flinke deuk opgelopen, waardoor de groepering veel invloed is kwijtgespeeld. Door deze hack zal LockBit nog verder van zijn sokkel vallen. Tegen de vermeende leider van de groepering, Dimitry Yuryevich Khoroshev, loopt sinds mei 2024 een internationaal aanhoudingsbevel, maar Rusland heeft niet de gewoonte om zijn burgers uit te leveren aan Westerse landen.
lees ook
Een kijk in de Russische cyberonderwereld: reputatie, strikte regels en onderlinge strijd
Om zijn vel nog enigszins te redden, probeert LockBit het incident te minimaliseren. De groepering zou een boodschap hebben uitgestuurd waarin het stelt dat ‘geen enkele decryptor of bedrijfsgegevens zijn beïnvloed’. LockBit belooft zelfs een premie voor informatie over de dader van de aanval.