De hacks op ransomware-groepen LockBit en Everest lijken een goede ontwikkeling, maar brengen volgens Orange Cyberdefense juist nieuwe risico’s met zich mee. Door de verzwakking van grote spelers ontstaat een versnipperd dreigingslandschap waarin kleinere, chaotische groepen de overhand krijgen.
Cybercriminelen krijgen een koekje van eigen deeg. LockBit en Everest, twee berucht gevreesde ransomware-groepen, zijn zelf slachtoffer geworden van cyberaanvallen. Hun dark web-sites vertoonden de spottende boodschap “Don’t do crime. CRIME IS BAD xoxo from Prague.” Bij LockBit was de schade nog groter: hun complete interne database werd gelekt.
De aanvallers gebruikten een bekende WordPress-kwetsbaarheid om binnen te dringen. LockBit bleek zelfs wachtwoorden onversleuteld op te slaan. Dit toont aan hoe slecht de basisbeveiliging van deze criminele organisaties was geregeld.
De gelekte database bevat ongeveer 60.000 Bitcoin-adressen, ruim 4.400 chatberichten tussen LockBit en slachtoffers, en inloggegevens van 75 leden. Deze informatie geeft veiligheidsdiensten unieke inzichten in de werkwijze van deze groepen.
Wildgroei aan kleinere spelers
Strategic Advisor Jort Kollerie van Orange Cyberdefense waarschuwt echter voor de gevolgen. “Als grote spelers zoals LockBit en Everest verzwakken, ontstaat er een nieuwe dynamiek binnen het cybercrimelandschap”, stelt hij. “De bekende term hiervoor is dan ook: one dies, one rises.”
Volgens Kollerie ontstaat er een wildgroei aan kleinere groepen die chaotisch opereren. Ze maken gebruik van gelekte tools, maar missen de structuur van hun voorgangers. Dit maakt het dreigingslandschap onvoorspelbaar en moeilijker te bestrijden.
Nieuwe uitdagingen voor beveiliging
Voor securityteams brengt dit nieuwe problemen. Ze kunnen minder vertrouwen op bekende aanvalspatronen. In plaats van enkele grote, voorspelbare spelers zijn er nu tientallen kleinere groepen actief met verschillende werkwijzen.
De gelekte gegevens bieden wel mogelijkheden. Bitcoin-adressen kunnen worden gekoppeld aan specifieke aanvallen. Communicatiepatronen helpen bij het begrijpen van hun werkwijze. “Arrestaties zijn niet direct te verwachten, maar ook niet uit te sluiten”, aldus Kollerie.
Threat intelligence-teams kunnen de data omzetten naar detectieregels. Zo helpen de lekken bedrijven hun verdediging aan te scherpen tegen bekende aanvalspatronen. Het geeft security-professionals concrete kansen om cybercriminelen een stap voor te blijven.
Tip: LockBit aangepakt, Nederlandse politie speelt belangrijke rol