LockBit ransomwaregroep opnieuw actief na politie-inval

LockBit: ’s Werelds meest productieve ransomwaregroep

In 2022 werd LockBit erkend als de meest productieve ransomwaregroep ter wereld, verantwoordelijk voor 44% van alle ransomware-incidenten. Tussen januari 2020 en mei 2023 voerde LockBit ongeveer 1.700 aanvallen uit in de Verenigde Staten, waarbij $91 miljoen aan losgeld werd betaald.

Herkomst en operaties

LockBit’s ransomware verscheen voor het eerst in januari 2020 op een Russischtalig cybercrimeforum. Hoewel de groep financieel gemotiveerd is, wordt deze niet officieel toegeschreven aan een bepaalde natiestaat. In februari 2024 namen opsporingsinstanties de controle over LockBit’s dark web-sites over, maar nieuwe aanvallen suggereren een poging tot comeback.

Technische aspecten

Aanvankelijk geschreven in C en C++, schakelde de groep voor de LockBit-NG-Dev-versie over naar .NET. LockBit verkrijgt toegang via gekochte toegang, niet-gepatchte kwetsbaarheden, insider-toegang en zero-day exploits. De ransomware versleutelt data en eist betaling voor ontsleuteling, met de dreiging om gegevens anders openbaar te maken.

Tools en strategieën

LockBit ontwikkelde “StealBit” voor geautomatiseerde datadiefstal en introduceerde snelle en efficiënte versleuteling met LockBit 2.0. De groep richtte zich ook op Linux-systemen met de Linux-ESXI Locker versie 1.0. Ze rekruteren affiliates en werken samen met andere criminele groepen, huren netwerktoegangsverkopers in en werven insiders van doelwitten. Ze hebben zelfs ondergrondse technische schrijfwedstrijden gesponsord om getalenteerde hackers aan te trekken.

Aanvalstactieken

LockBit krijgt vaak initiële toegang via kwetsbare Remote Desktop Protocol (RDP) servers, gecompromitteerde inloggegevens, phishing-e-mails en bekende kwetsbaarheden. Ze gebruiken tools zoals Mimikatz en PowerShell-scripts om inloggegevens te verzamelen en beveiligingsmaatregelen uit te schakelen. De ransomware verspreidt zich via SMB-bestandsdelingsverbindingen en andere laterale bewegingstechnieken. Bestanden worden versleuteld met AES- en RSA-versleuteling, en losgeldbrieven worden achtergelaten om betaling af te dwingen.

Historische aanvallen

LockBit heeft wereldwijd verschillende industrieën getroffen, waaronder belangrijke incidenten in de gezondheidszorg, het onderwijs en de bedrijfssector. Opmerkelijke slachtoffers zijn onder andere Accenture, Thales, La Poste Mobile en Continental. In december 2022 viel LockBit de California Finance Administration en het Toronto’s Hospital for Sick Children aan. De groep bleef tot in 2023 en daarna opvallende aanvallen uitvoeren op onder andere Royal Mail, Indigo Books en TSMC.

Recente ontwikkelingen

In februari 2024 namen opsporingsinstanties de infrastructuur van LockBit in beslag, arresteerden verschillende individuen en brachten een decryptor uit voor LockBit 3.0. Ondanks deze inspanningen bleef de ransomware zich verspreiden, met nieuwe aanvallen kort na de inval. Eind februari 2024 verscheen een nieuwe LockBit-website met een lijst van nieuwe slachtoffers en verse losgeld-eisen.

Juridische acties

Arrestaties en sancties werden ingesteld tegen belangrijke individuen die betrokken zijn bij LockBit, waaronder Mikhail Vasiliev en Dmitry Khoroshev. Dit benadrukt de voortdurende inspanningen om de operaties van de groep te ontmantelen. LockBit blijft een formidabele kracht in het ransomwarelandschap, voortdurend evoluerend in hun tactieken en met een aanzienlijke impact, ondanks de inspanningen van wetshandhaving. De focus van de groep op financieel gewin en aanpassingsvermogen zorgt ervoor dat ze blijven volharden in cybercriminele activiteiten.

Auteur tekst Andy Vermaut +32499357495, indegazette.be, email: denktankcarmenta@gmail.com

Gerelateerde nieuwsberichten

Subscribe
Subscribe