De interne werking van de beruchte ransomwaregroep LockBit is blootgelegd door een groot datalek. Het lek bevat duizenden chatgesprekken tussen de hackers en hun slachtoffers, waardoor voor het eerst duidelijk wordt hoe gestructureerd en zakelijk deze criminele organisatie opereert.
Securitybedrijf Defenced heeft de datadump geanalyseerd en inzicht gekregen in de werkwijze van de groep. De gelekte SQL-database bevat onder meer chatgesprekken tussen slachtoffers en LockBit-operators, die Defenced heeft gereconstrueerd om de onderhandelingstactieken bloot te leggen.
Zakelijk onderhandelen over losgeld
Wat opvalt in de chats is de professionele en zelfs klantvriendelijke toon waarmee LockBit onderhandelt. De ransomwaregroep blijkt bereid tot flinke kortingen op de initiële losgeldeis. In één geval daalde het gevraagde bedrag van 120.000 dollar (108.000 euro) naar 40.000 dollar. Bij een ander slachtoffer werd een reductie van 80.000 dollar naar 50.000 dollar geaccepteerd, waarna de ontsleutelingssoftware direct werd geleverd.
Uit de analyse van 208 chatgesprekken blijkt dat in 18 gevallen daadwerkelijk werd betaald. De losgelden varieerden van enkele duizenden dollars tot ongeveer 60.000 dollar. In totaal kon Defenced ruim 348.000 dollar aan betalingen verifiëren, hoewel het werkelijke totaal vermoedelijk veel hoger ligt.
Criminele bedrijfsvoering met structuur
LockBit opereert volgens een Ransomware-as-a-Service (RaaS) model. De organisatie ontwikkelt de malware, maar laat de aanvallen uitvoeren door ‘partners’ die een percentage van het losgeld ontvangen. Deze structuur wordt bevestigd in de chats, waarin vaak wordt verwezen naar “the boss” die de uiteindelijke beslissingen neemt en toegang heeft tot de decryptietools.
Opvallend is dat LockBit cyberverzekeringen als buit beschouwt. In één geval werd het losgeld verhoogd naar 4,5 miljoen dollar nadat ontdekt werd dat het slachtoffer een dekking had van 5 miljoen dollar. Daarnaast blijkt uit de gesprekken dat Russische doelwitten worden ontzien en zelfs gratis decryptiesoftware ontvangen, wat vermoedens over de Russische oorsprong van de groep versterkt.
Lessen uit het datalek
Defenced heeft uit de gelekte gesprekken vijf praktische lessen getrokken. De belangrijkste: backups zijn pas waardevol als ze daadwerkelijk werken en offline bewaard worden. Veel slachtoffers hadden wel backups, maar kozen toch voor betaling omdat het terugzetten te complex of kostbaar bleek.
Andere lessen betreffen het belang van snelle besluitvorming tijdens een aanval en de noodzaak van goede basisbeveiliging. Uit de chats blijkt dat LockBit vaak simpele kwetsbaarheden misbruikt, zoals zwakke wachtwoorden of slecht gepatchte servers. Soms vroeg de ransomwaregroep zelfs extra geld om te onthullen hoe ze waren binnengedrongen.