De Britse National Crime Agency (NCA) heeft dinsdag bevestigd dat het de broncode van LockBit heeft verkregen, evenals informatie met betrekking tot zijn activiteiten en hun dochterondernemingen als onderdeel van een speciale taskforce genaamd Operatie Kronos.
“Sommige gegevens op de systemen van LockBit waren eigendom van slachtoffers die losgeld hadden betaald aan de dreigingsactoren, wat erop wijst dat zelfs als er losgeld wordt betaald, dit niet garandeert dat de gegevens zullen worden verwijderd, ondanks wat de criminelen hebben beloofd”, aldus het agentschap. gezegd.
Het kondigde ook de arrestatie aan van twee LockBit-acteurs in Polen en Oekraïne. Meer dan 200 cryptocurrency-accounts die aan de groep zijn gekoppeld, zijn bevroren. In de VS zijn ook aanklachten geopend tegen twee andere Russische staatsburgers die LockBit-aanvallen zouden hebben uitgevoerd.
Artur Sungatov en Ivan Gennadievich Kondratiev (ook bekend als Bassterlord) zijn beschuldigd van het inzetten van LockBit tegen talloze slachtoffers in de VS, waaronder bedrijven in het hele land in de productie- en andere industrieën, evenals slachtoffers over de hele wereld in de halfgeleider- en andere industrieën, volgens de VS. Ministerie van Justitie (DoJ).
Kondratyev is ook beschuldigd van drie misdrijven die voortkomen uit zijn gebruik van de Sodinokibi, ook bekend als REvil, een ransomware-variant om gegevens te versleutelen, informatie over slachtoffers te exfiltreren en losgeld af te persen van een bedrijfsslachtoffer gevestigd in Alameda County, Californië.
De ontwikkeling komt in de nasleep van een internationale ontwrichtingscampagne gericht tegen LockBit, die de NCA omschreef als ‘de schadelijkste cybercriminaliteitsgroep ter wereld’.
Als onderdeel van de verwijderingsinspanningen zei het bureau dat het de controle over de diensten van LockBit overnam en zijn hele criminele onderneming infiltreerde. Dit omvat de beheeromgeving die wordt gebruikt door aangesloten bedrijven en de openbare leksite die op het dark web wordt gehost.
Daarnaast zijn ook 34 servers van LockBit-filialen ontmanteld en zijn er meer dan 1.000 decoderingssleutels opgehaald van de in beslag genomen LockBit-servers.
LockBit voert sinds zijn debuut eind 2019 een ransomware-as-a-service (RaaS)-programma uit waarbij de encryptors in licentie worden gegeven aan aangesloten bedrijven, die de aanvallen uitvoeren in ruil voor een verlaging van de opbrengst van het losgeld.
De aanvallen volgen een tactiek die dubbele afpersing wordt genoemd, waarbij gevoelige gegevens worden gestolen voordat ze worden gecodeerd, waarbij de bedreigingsactoren druk uitoefenen op de slachtoffers om een betaling te doen om hun bestanden te decoderen en te voorkomen dat hun gegevens worden gepubliceerd.
“De ransomwaregroep is ook berucht vanwege het experimenteren met nieuwe methoden om hun slachtoffers onder druk te zetten om losgeld te betalen”, aldus Europol.
“Drievoudige afpersing is zo’n methode die de traditionele methoden omvat van het versleutelen van de gegevens van het slachtoffer en het dreigen deze te lekken, maar ook gedistribueerde denial-of-service (DDoS)-aanvallen als een extra druklaag.”
De gegevensdiefstal wordt vergemakkelijkt door middel van een aangepaste tool voor gegevensexfiltratie met de codenaam StealBit. De infrastructuur, die werd gebruikt om slachtoffergegevens te organiseren en over te dragen, is sindsdien in beslag genomen door autoriteiten uit drie landen, waaronder de VS.
Volgens Eurojust en DoJ hebben de LockBit-aanvallen wereldwijd ruim 2.500 slachtoffers getroffen en ruim 120 miljoen dollar aan illegale winsten opgeleverd. Via No More Ransom is ook een decoderingstool beschikbaar gesteld waarmee u gratis bestanden kunt herstellen die door de ransomware zijn versleuteld.
“Door onze nauwe samenwerking hebben we de hackers gehackt, de controle over hun infrastructuur overgenomen, hun broncode in beslag genomen en sleutels verkregen waarmee slachtoffers hun systemen kunnen ontsleutelen”, aldus NCA-directeur-generaal Graeme Biggar.
“Vanaf vandaag zijn LockBit buitengesloten. We hebben de capaciteit en vooral de geloofwaardigheid geschaad van een groep die afhankelijk was van geheimhouding en anonimiteit. LockBit probeert mogelijk hun criminele onderneming weer op te bouwen. We weten echter wie ze zijn en hoe zij opereren.”
