Hackersgroepering LockBit is al terug, amper een week nadat een internationale politieactie claimde het collectief offline gehaald te hebben. Lockbit communiceert heel professioneel over wat er gebeurd is en welke stappen het zal nemen.
Operatie Cronos heeft maar beperkt vruchten afgeworpen. Nadat onder andere de FBI en Europol vorige week de online ‘diensten’ van digitale criminele organisatie LockBit offline haalde, maakt het collectief een comeback. LockBit geldt als één van de belangrijkste hackersgroeperingen op het internet, en maakte al slachtoffers met z’n ransomware bij grote bedrijven, gemeentebesturen en zelfs kinderziekenhuizen.
Operatie Cronos haalde niet alleen de website van LockBit offline, maar kon ook de infrastructuur achter de ransomware-campagnes verstoren. LockBit is er op een week tijd echter in geslaagd die infrastructuur te herstellen en z’n ransomware-diensten opnieuw aan te bieden.
Zwemmen in het geld
De hacker achter LockBit communiceert in ietwat unieke stijl transparant over het voorval, en neemt verantwoordelijkheid. Bleepingcomputer zag het statement. “Omdat ik al vijf jaar in het geld zwem, ben ik erg lui geworden”, klinkt het. “Door m’n eigen nalatigheid en onverantwoordelijkheid heb ik PHP niet geüpdatet.” De server in kwestie draaide PHP 8.1.2 en was kwetsbaar voor bug CVE-2023-3824. Via dat lek konden politiediensten zich een weg naar binnen banen.
LockBit kondigt meteen maatregelen aan. Natuurlijk heeft de nieuwe infrastructuur wel de nodige updates. Verder werkt LockBit met een structuur van onderaannemers. In dat opzicht kan je het hackerscollectief zien als een traditioneel softwarebedrijf, waar andere organisaties groot en klein verschillende licenties kunnen afnemen. Decryptor-software voor verschillende van die lichtere licenties werden buitgemaakt in Operatie Cronos, zodat een deel van de slachtoffers z’n data kan redden zonder te betalen aan LockBit. Naar die onderaannemers is dat geen goede zaak, dus herziet LockBit z’n interne processen.
De beveiligingsinfrastructuur wordt van een update voorzien en er komt meer decentralisatie. Door de infrastructuur van de onderaannemers over servers te verspreiden, moet het in het geval van een aanval door overheden moeilijker worden om hel te veel schade te berokkenen.
De terugkeer van LockBit is geen goede zaak voor de veiligheid van het internet. De groepering geeft bovendien aan om meer (Amerikaanse) overheidswebsites te zullen aanvallen, om zo na te gaan of de FBI echt in staat is om terug te vechten.
Transparante communicatie
Het valt wel op dat de criminele organisatie snel, transparant en volledig communiceert over het voorval. LockBit neemt verantwoordelijkheid, laat duidelijk weten wat er is misgelopen, geeft aan wat de impact is voor klanten en vertelt hoe het dergelijke problemen in de toekomst zal voorkomen. Net als een legitieme organisatie wil Lockbit imagoschade na een hack beperken. De klanten die LockBit geld hebben betaald, maar hun ransom-aanvallen nu geneutraliseerd zien, zullen immers niet al te blij zijn met het clandestiene bedrijf. Open communicatie helpt daar om het vertrouwen te herstellen. Ietwat ironisch kunnen veel slachtoffers van LockBit iets leren van die transparante en snelle communicatie.