LockBit heeft jaren een fors aandeel in de ransomware-schade opgeëist. Nu dreigt de criminele organisatie weggedrukt te worden door concurrerende bendes en kwaadwillenden die LockBit imiteren.
Toen LockBit in februari aangepakt werd door de Europol en andere autoriteiten, leek de impact op de operaties van de cybercrimegroep beperkt. Een paar dagen later keerde de groep namelijk alweer terug met bijgewerkte encryptors en nieuwe servers.
Afname in relevantie
Toch is er wel degelijk een afname in de relevantie van LockBit, blijkt uit een rapport van Trellix’ Advance Research Center. Hoewel aanvallers zich meermaals presenteren als LockBit-representanten, blijkt het om imitaties te gaan. Deze claim wordt geloofwaardiger door sterke overeenkomsten met de LockBit-ransomware.
Immers lekte de source-code van de LockBit 3.0-builder in 2022 via een ontevreden ontwikkelaar, waarna andere partijen ermee aan de haal gingen. Dit was een grote tegenvaller voor de cybercrimegroep omdat het een zekere reputatie moet zien te behouden. De eisen van losgeld zijn alleen geloofwaardig als gevoelige data weer wordt ontsleuteld en een dreigend datalek uitblijft. Zonder een controle en selectie van LockBit-leden verliest de organisatie aan macht over het cybercrimelandschap.
Geen selectieprocedure
In augustus 2023 bleek dit lek al een groot effect te hebben gehad: meerdere threat actors hebben er eigen LockBit-varianten mee gecreëerd.
Normaliter moesten LockBit-kandidaten zichzelf bewijzen om toegang te krijgen tot de ransomware-tools, naast het accepteren van regels over bepaalde doelwitten en de toezegging om een deel van het losgeld af te staan aan LockBit. Volgens het Trellix-rapport kozen andere bendes er juist voor om het Ransomware-as-a-Service-verdienmodel van de groep te ondermijnen.
Nieuwe groepen
Naast deze concurrentiestrijd blijkt het LockBit-lek nieuwe groepen de kans te geven om te groeien. Sommige partijen veranderen enkel de ‘ransom note‘ en contactinformatie om de rest van de LockBit 3.0-builder ongemoeid te laten.
Deze ontwikkelingen laten bovenal twee zaken zien. Allereerst blijken zelfs de succesvolste criminele groepen vatbaar te zijn voor gecoördineerde operaties van de autoriteiten. Ten tweede blijkt andermaal dat deze organisaties al gauw kunnen worden vervangen door andere aanvallers, die waar mogelijk de lessen leren van hun voorgangers.
Lees ook: Vier jaar celstraf voor hacker van LockBit-ransomwaregroep