Het Amerikaanse ministerie van Buitenlandse Zaken heeft geldelijke beloningen tot 15 miljoen dollar aangekondigd voor informatie die zou kunnen leiden tot de identificatie van belangrijke leiders binnen de LockBit-ransomwaregroep en de arrestatie van iedereen die aan de operatie deelneemt.
“Sinds januari 2020 hebben LockBit-actoren meer dan 2.000 aanvallen uitgevoerd op slachtoffers in de Verenigde Staten en over de hele wereld, waardoor kostbare verstoringen van de operaties en de vernietiging of exfiltratie van gevoelige informatie zijn veroorzaakt”, aldus het ministerie van Buitenlandse Zaken.
“Er is ruim $144 miljoen aan losgeld betaald om te herstellen van LockBit-ransomware-gebeurtenissen.”
De ontwikkeling komt op het moment dat een ingrijpende wetshandhavingsoperatie onder leiding van de Britse National Crime Agency (NCA) LockBit heeft verstoord, een aan Rusland gelinkte ransomwarebende die al meer dan vier jaar actief is en grote schade aanricht aan bedrijven en kritieke infrastructuurentiteiten over de hele wereld.
Ransomware-as-a-service (RaaS)-operaties zoals LockBit en anderen werken door bedrijven af te persen door hun gevoelige gegevens te stelen en te versleutelen, waardoor het een lucratief bedrijfsmodel wordt voor Russische e-criminaliteitsgroepen die ongestraft handelen door misbruik te maken van het feit dat zij buiten de jurisdictie van de westerse rechtshandhaving vallen.
De kernontwikkelaars hebben de neiging om gebruik te maken van een netwerk van aangesloten bedrijven die worden gerekruteerd om de aanvallen uit te voeren met behulp van de kwaadaardige software en infrastructuur van LockBit. Het is op hun beurt bekend dat de aangesloten ondernemingen toegang tot interessante doelen kopen met behulp van Initial Access Brokers (IAB’s).
“LockBit is uitgegroeid tot de meest productieve ransomwaregroep sinds Conti medio 2022 het toneel verliet”, zegt Chester Wisniewski, Global Field CTO bij Sophos.
“De frequentie van hun aanvallen, gecombineerd met het feit dat er geen grenzen zijn aan het soort infrastructuur dat ze verlammen, heeft hen ook tot de meest destructieve van de afgelopen jaren gemaakt. Alles wat hun activiteiten verstoort en wantrouwen zaait onder hun dochterondernemingen en leveranciers is een enorme overwinning voor de wetshandhavers. .”
LockBit staat ook bekend als de eerste ransomwaregroep die in 2022 een bugbounty-programma aankondigt, waarbij beloningen tot $ 1 miljoen worden aangeboden voor het vinden van beveiligingsproblemen in website- en lockersoftware.
“De activiteiten van LockBit groeiden in omvang door consequent nieuwe productfuncties te leveren, goede klantenondersteuning te bieden en soms marketingstunts, waaronder het betalen van mensen om zichzelf te tatoeëren met het logo van de groep”, aldus Intel 471.
“LockBit draaide het script om, liet zijn aangesloten bedrijven het losgeld innen en vertrouwde hen toe een deel ervan te betalen. Dit gaf de aangesloten bedrijven het vertrouwen dat ze geen betaling zouden mislopen, waardoor meer aangesloten bedrijven werden aangetrokken.”
SecureWorks Counter Threat Unit (CTU), die de groep volgt onder de naam Gold Mystic, zei dat het tussen juli 2020 en januari 2024 22 compromissen met de LockBit-ransomware heeft onderzocht, waarvan sommige uitsluitend afhankelijk waren van gegevensdiefstal om slachtoffers af te persen.
Het cyberbeveiligingsbedrijf wees er verder op dat de praktijk van LockBit om de controle af te staan aan zijn dochterondernemingen om de onderhandelingen over losgeld en betalingen af te handelen, het syndicaat in staat stelde op te schalen en in de loop der jaren verschillende dochterondernemingen aan te trekken.
De verwijdering van LockBit volgde op een maandenlang onderzoek dat in april 2022 begon en leidde tot de arrestatie van drie aangesloten bedrijven in Polen en Oekraïne, de aanklacht in de VS tegen twee andere vermeende leden, evenals de inbeslagname van 34 servers en 1.000 decoderingssleutels die kan slachtoffers helpen hun gegevens te herstellen zonder enige betaling te doen.
Onder deze arrestaties bevinden zich een 38-jarige man in Warschau en een ‘vader en zoon’-duo uit Oekraïne. Er wordt geschat dat LockBit tussen 31 januari 2022 en 5 februari 2024 ongeveer 194 aangesloten bedrijven in dienst had, waarbij de actoren een op maat gemaakte data-exfiltratietool gebruikten die bekend staat als StealBit.
“StealBit is een voorbeeld van LockBit’s poging om een volledige ‘one-stop-shop’-service aan te bieden aan zijn aangesloten bedrijven”, aldus de NCA, eraan toevoegend dat het uitvoerbare bestand wordt gebruikt om de gegevens via de eigen infrastructuur van het aangesloten bedrijf te exporteren voordat StealBit waarschijnlijk probeert te ontwijken. detectie.
Dat gezegd hebbende, betekent de vloeiende structuur van deze RaaS-merken dat het sluiten ervan mogelijk geen beslissende invloed heeft op de criminele onderneming, waardoor ze zich kunnen hergroeperen en onder een andere naam weer kunnen opduiken. Als de recente geschiedenis van soortgelijke verwijderingen een indicatie is, zal het niet lang meer duren voordat ze een nieuwe naam krijgen en doorgaan waar ze gebleven waren.
“Een uitgebreide degradatie van de infrastructuur van LockBit zal waarschijnlijk resulteren in een korte stopzetting van de activiteiten van LockBit-agenten voordat ze hun activiteiten hervatten – hetzij onder de naam LockBit of onder een alternatieve vlag”, aldus ZeroFox.
“Zelfs als we niet altijd een volledige overwinning behalen, zoals is gebeurd met QakBot, is het opleggen van verstoring, het aanwakkeren van hun angst om gepakt te worden en het vergroten van de wrijving bij het runnen van hun criminele syndicaat nog steeds een overwinning”, voegde Wisniewski eraan toe. “We moeten ons blijven verenigen om hun kosten steeds verder op te drijven, totdat we ze allemaal kunnen plaatsen waar ze horen: in de gevangenis.”
