BOEING WAAR KOMT LOCKBIT VANDAAN?
Lockbit werd in 2020 ontdekt toen de gelijknamige kwaadaardige software werd aangetroffen op Russischtalige cybercrimefora. Op dinsdag klaagde het Amerikaanse Ministerie van Justitie twee Russische staatsburgers aan voor het inzetten van Lockbit ransomware tegen bedrijven en groepen over de hele wereld. De politie in Polen en Oekraïne heeft twee arrestaties verricht.
De bende heeft geen steun betuigd aan een regering, noch heeft een regering de bende formeel toegeschreven aan een natiestaat. "Wij zijn gevestigd in Nederland, volledig apolitiek en alleen geïnteresseerd in geld," zei de bende op haar inmiddels verdwenen darkweb site.
In slechts drie jaar tijd was het volgens Amerikaanse functionarissen 's werelds grootste bedreiging voor ransomware geworden. Nergens was de dreiging zo ontwrichtend als in de Verenigde Staten, waar meer dan 1700 Amerikaanse organisaties in bijna elke sector werden getroffen, van financiële diensten en levensmiddelen tot scholen, transport en overheidsdiensten. Onder de slachtoffers was de defensie- en ruimtevaartgigant Boeing. Afgelopen november lekte Lockbit een cache van interne gegevens die het had verkregen door in te breken in de systemen van Boeing. Eerder in 2023 verstoorde de hack van de bende bij de financiële handelsgroep ION de activiteiten bij klanten waaronder enkele van 's werelds grootste banken, makelaars en hedgefondsen.
Er werd ook ingebroken bij de Industrial and Commercial Bank of China (ICBC), waardoor de handel in Amerikaanse schatkistpapier werd verstoord.
HOE RICHT LOCKBIT ZICH OP ORGANISATIES?
De cybercriminele bende infecteerde het systeem van een slachtofferorganisatie met ransomware - kwaadaardige software die gegevens versleutelt - en dwong het doelwit vervolgens losgeld te betalen om de gegevens te ontsleutelen of te ontgrendelen. Dergelijk losgeld wordt meestal geëist in de vorm van cryptocurrency, wat moeilijker te traceren is en de ontvanger anonimiteit geeft.
Amerikaanse en andere functionarissen in een alliantie van 40 landen hebben geprobeerd om de wereldwijde plaag van ransomware in te dammen door informatie uit te wisselen over de cryptocurrency-walletadressen van dergelijke criminelen.
Op het dark web toonde de blog van Lockbit een steeds groter wordende galerij van slachtofferorganisaties die bijna dagelijks werd bijgewerkt. Naast hun namen stonden digitale klokken die het aantal dagen aangaven tot aan de deadline die aan elke organisatie was gegeven om losgeld te betalen, anders zou de bende de gevoelige gegevens die het had verzameld publiceren.
Vaak roepen slachtofferorganisaties de hulp in van cyberbeveiligingsbedrijven om vast te stellen welke gegevens waren gelekt en om met de hackers over losgeldbedragen te onderhandelen. Dergelijke gesprekken achter de schermen bleven meestal privé en konden volgens beveiligingsanalisten soms dagen of weken duren.
Het was gebruikelijk dat sommige namen van slachtoffers niet op de Lockbit blog verschenen als de bedreiging privé werd gedaan.
HOE WERKTE LOCKBIT?
Voor een deel hing het succes van Lockbit af van zijn zogenaamde "filialen" - gelijkgestemde criminele groepen die werden gerekruteerd om aanvallen uit te voeren met de digitale afpersingstools van Lockbit.
Op zijn website pochte de bende over zijn successen bij het hacken van verschillende organisaties en legde een gedetailleerde reeks regels vast voor cybercriminelen die een "aanmeldingsformulier" konden indienen om met hen samen te werken. "Vraag uw vrienden of kennissen die al met ons werken om voor u in te staan," luidde een van die regels.
Dit web van allianties tussen cybercriminele groepen maakt het volgen van dergelijke hackactiviteiten en pogingen om losgeld te vragen moeilijk, omdat hun tactieken en technieken bij elke aanval kunnen variëren. (Verslaggeving door Zeba Siddiqui in San Francisco en James Pearson in Londen; Bewerking door Rod Nickel en Sandra Maler)
