Het gehele ‘command and control’-apparaat van ransomwaregroep LockBit is nu in het bezit van de wetshandhaving, zo heeft de Britse National Crime Agency onthuld, nadat het in een gecoördineerde internationale operatie de website van de misdaadbende in beslag leek te hebben genomen.
De stroom aan gehackte gegevens heeft al tot vier arrestaties geleid, en de autoriteiten hebben dinsdag beloofd de technologie opnieuw te gaan gebruiken om de activiteiten van de groep aan de wereld bekend te maken.
De gezamenlijke operatie, tussen de NCA, de FBI, Europol en een coalitie van internationale politiediensten, werd onthuld in een bericht op de eigen website van LockBit, waarin stond: “Deze site staat nu onder controle van de Britse National Crime Agency, werkzaam in nauwe samenwerking met de FBI en de internationale wetshandhavingstaakgroep Operatie Cronos.”
Europol maakte bekend dat twee LockBit-acteurs waren gearresteerd in Polen en Oekraïne, en dat twee andere verdachten, vermoedelijk met elkaar verbonden, in de VS waren gearresteerd en aangeklaagd. Er werden nog twee personen genoemd, die Russische staatsburgers zijn en nog steeds op vrije voeten zijn. De autoriteiten hebben ook meer dan 200 cryptocurrency-accounts bevroren die verband houden met de criminele organisatie.
De verstoring van de LockBit-operatie is aanzienlijk groter dan aanvankelijk werd onthuld. Naast het overnemen van de controle over de openbare website, heeft de NCA ook beslag gelegd op de primaire administratieve omgeving van LockBit, de infrastructuur waarmee LockBit de technologie kon beheren en exploiteren die het gebruikte om bedrijven en individuen over de hele wereld af te persen.
“Door onze nauwe samenwerking hebben we de hackers gehackt; namen de controle over hun infrastructuur over, namen hun broncode in beslag en verkregen de sleutels om slachtoffers te helpen hun systemen te ontsleutelen”, zegt Graeme Biggar, directeur-generaal van de NCA.
“Vanaf vandaag zijn LockBits vergrendeld. We hebben het vermogen en, belangrijker nog, de geloofwaardigheid beschadigd van een groep die afhankelijk was van geheimhouding en anonimiteit.”
De organisatie pionierde met het ‘ransomware-as-a-service’-model, waarbij het de selectie van doelwitten en aanvallen uitbesteedt aan een netwerk van semi-onafhankelijke ‘gelieerde ondernemingen’, waarbij ze tools en infrastructuur krijgen en in ruil daarvoor een losgeldcommissie ontvangen.
Net als ransomware, die doorgaans werkt door gegevens op geïnfecteerde machines te versleutelen en betaling te eisen voor een decoderingssleutel, kopieerde LockBit de gestolen gegevens en dreigde deze te publiceren als er geen losgeld werd betaald, waarbij hij beloofde de kopieën te verwijderen nadat hij het losgeld had ontvangen. .
De NCA zei echter dat de belofte vals was. Sommige gegevens die hij op de systemen van LockBit ontdekte, waren van slachtoffers die het losgeld betaalden.
De minister van Binnenlandse Zaken, James Cleverly, zei: “De toonaangevende expertise van de NCA heeft een grote klap toegebracht aan de mensen achter de meest productieve ransomwaresoort ter wereld.
na het promoten van de nieuwsbrief
“De criminelen die LockBit runnen zijn geavanceerd en goed georganiseerd, maar zijn niet in staat geweest om aan de greep van de Britse politie en onze internationale partners te ontsnappen.”
De hackback-campagne heeft ook meer dan 1.000 decoderingssleutels teruggevonden die bedoeld waren voor de slachtoffers van de aanvallen van LockBit, en zal contact opnemen met deze slachtoffers om hen te helpen hun gecodeerde gegevens te herstellen.
In een blogpost van vorige maand zei het voormalige hoofd van het National Cyber Security Center, Ciaran Martin, dat de betrokkenheid van Russische hackers bij cybercriminaliteit veel gangbare wetshandhavingstactieken heeft ondermijnd. “We leggen kosten op wanneer we kunnen: er zijn dingen die we kunnen doen om cybercriminelen lastig te vallen en lastig te vallen”, waarschuwde hij. “Maar dit zal geen strategische oplossing zijn zolang er een veilige haven is in Rusland.”