LockBit startte zijn operaties opnieuw op nadat het vorige week een knauw kreeg van politiediensten. De ransomware-groep lanceerde tijdens het weekend een nieuwe website om slachtoffers op af te persen. Het eindverdict over de internationale actie tegen LockBit is echter positief. Welke gevolgen draagt de ransomware-groep?
Update 29/2, 10u: De operaties van LockBit blijken al door te gaan met bijgewerkte encryptors. Daarnaast zijn er al nieuwe servers actief, dat blijkt uit de losgeldberichten die nieuwe slachtoffer ontvingen. Op de servers draait de infrastructuur voor de nieuwe leak site en voor de website waarop onderhandelingen tussen de ransomware-groep en slachtoffers plaatsvindt.
Origineel 26/2, 11u35: LockBit maakte zaterdag bekend zijn operaties opnieuw op te starten. Hiervoor werd een nieuwe website ingericht waarop het slachtoffers afperst. Hier worden de namen van organisaties genoemd waarvan data werd gestolen met LockBit-ransomware. De naam van het slachtoffer wordt vergezeld door een aftelklok die aantoont binnen welke tijdspanne het losgeld moet worden betaald. Na het verlopen van de tijd gaat het hackerscollectief over op het openbaar maken van de gestolen data. Vijf nieuwe slachtoffers staan al op de nieuwe .onion-website.
Herstellen van operatie Cronos
Vorige week konden politiediensten de eerdere ‘leak site’ van de ransomware-groep overnemen. Verschillende internationale politiediensten, waaronder de Nederlandse politie en Europol, pakten hiervoor 34 servers aan. De gezamenlijke actie draagt de naam operatie Cronos.
Europol deelde na de operatie al mee dat er nog verdere acties nodig zullen om LockBit te stoppen. De ransomware-groep blijkt snel van de internationale actie te zijn hersteld. Het hackerscollectief deelde vorige week dan ook al mee dat niet alle servers betrokken waren bij de internationale actie, maar alleen deze die draaien op de programmeertaal PHP.
In een nieuw bericht haalt het nu aan hoe het mogelijk was dat de politiediensten de website konden overnemen. Zo blijken er twee cruciale servers te zijn overgenomen door een kritieke kwetsbaarheid in PHP 8.1.2. “Vanwege mijn persoonlijke nalatigheid en onverantwoordelijkheid ben ik lui geweest en heb ik PHP niet op tijd bijgewerkt”, schrijft de blogger van LockBit. “De nieuwe servers draaien nu de laatste versie van PHP 8.3.3.” Een link naar het volledige bericht werd gedeeld door BleepingComputer.
Betere beveiliging decryptiesleutels
Operatie Cronos leverde verder 1.000 decryptiesleutels op. Het gaat volgens LockBit om sleutels die niet maximaal beveiligd waren en vaak werden gebruikt in kleinere ransomware-aanvallen waar het losgeld niet meer dan 2.000 dollar bedroeg. “Er stonden ongeveer 20.000 decryptors op de server, de meeste daarvan waren beveiligd en kunnen dus niet gebruikt worden door de FBI.”
In de toekomst plant de ransomware-groep deze sleutels alsnog beter te beveiligen door de sleutels manueel uit te geven en minder kopieën te leggen bij gebruikers van de Ransomware-as-a-Service van LockBit.
Omtrent de arrestaties geeft de blogger aan niet onder de indruk te zijn. Het zou gaan om willekeurige personen die niet gelinkt zijn aan de operaties van LockBit. Er wordt aan de FBI gevraagd om bewijs te leveren over de link met LockBit om het tegendeel te bewijzen.
Bericht aan de FBI
Operatie Cronos was een gezamenlijke operatie die werd gedragen door Europol, de FBI, de Britse veiligheidsdiensten en verschillende nationale politiedepartementen. Waarom het hackerscollectief dan in het bericht toch alleen over de FBI spreekt, ligt aan wat de hack volgens LockBit veroorzaakte. Zo zou in een recente ransomware-aanval informatie zijn buitgemaakt die informatie bevatten over de net afgesloten rechtszaken tegen Donald Trump “die de aankomende verkiezingen in de VS kunnen beïnvloeden”.
Het hackerscollectief had de intenties de gestolen documenten dinsdag nog publiekelijk te maken, “omdat de onderhandelingen al vastliepen”. Die plannen werden echter verhinderd door operatie Cronos, een actie die volgens LockBit werd opgezet door de FBI om wraak te nemen als gevolg van de recente ransomware-aanval. Het hackerscollectief neemt zich voor om meer ransomware-acties tegen overheden te starten.
Operatie Cronos toch een succes
Nu LockBit zijn activiteiten elders heeft verdergezet, lijkt operatie Cronos mogelijks verspilde moeite te zijn geweest. Europol was echter niet naïef en anticipeerde al op een heropleving. De actie beschadigde echter wel het imago van LockBit, vertelt Robert McArdle aan ITWire. “We weten dat geen enkele weldenkende crimineel nog een keer betrokken zou willen zijn bij de groep.” McArdle is cybercrime-onderzoeker bij Trend Micro. Het bedrijf was betrokken bij de politie-actie.
In operatie Cronos gebruikten de politiediensten zo een truc die de cybercriminelen van LockBit maar al te goed kennen. Door het publiekelijk toebrengen van schade en deze schade publiekelijk bekendmaken, is de geloofwaardigheid van de beveiliging van LockBit neergehaald. De ransomware-groep bleek niet onbereikbaar voor politiediensten. Dat schaadt het vertrouwen van partners. Zelfs als de operaties van de ransomware-groep weer worden opgezet.
Dat werkt net zoals bij organisaties die geraakt worden door ransomware en dus niet bestand blijken tegen cybersecurity-incidenten. Zelfs als alle de slachtoffers weten alle data na een ransomware-aanval weer weten terug te krijgen, blijven partners zich afvragen wanneer de volgende ransomware-aanval zich zal voordoen. Voor LockBit zullen de partners zich nu afvragen wanneer politiediensten de volgende keer een succesvolle actie tegen de ransomware-groep zullen ondernemen en hoe groot de schade dan zal zijn.
Lees ook: LockBit aangepakt, Nederlandse politie speelt belangrijke rol
Tip! Beluister de meest recente podcast waarin we bespreken of operatie Cronos nu iets aan het ransomware-probleem heeft kunnen oplossen.