LockBit behoort tot de meest beruchte ransomwaregroepen wereldwijd en heeft sinds zijn opkomst in 2019 een belangrijke rol gespeeld in de wereldwijde cybercriminaliteit. De groep werd groot door gebruik te maken van een ransomware-as-a-service model waarbij andere cybercriminelen hun kwaadaardige software konden huren en in ruil daarvoor een deel van het losgeld afstaan aan LockBit zelf. Deze aanpak maakte het mogelijk om in korte tijd een wijdvertakt netwerk van partners op te bouwen, waarbij aanvallen plaatsvonden op overheden, zorginstellingen, onderwijsorganisaties en bedrijven in uiteenlopende sectoren. Door de modulaire opbouw en regelmatige vernieuwing van de ransomware, zoals met LockBit 2.0 en 3.0, wist de groep zich te blijven aanpassen aan technologische veranderingen en detectiemethoden van beveiligingssoftware.
LockBit viel vooral op door zijn efficiëntie en meedogenloze methoden. Na het binnendringen van netwerken via kwetsbaarheden of gestolen inloggegevens, versleutelde de groep kritieke bestanden en eiste losgeld in cryptovaluta. Betaalde het slachtoffer niet op tijd, dan dreigde publicatie van gestolen data op hun eigen leak-site. Uit recent uitgelekte gesprekken blijkt dat de groep bij voorkeur betalingen in Monero ontvangt, mede door het sterke privacykarakter van deze munt. Sommige slachtoffers kregen zelfs korting als ze met Monero in plaats van Bitcoin wilden betalen, wat duidt op een bewuste keuze om detectie van geldstromen te bemoeilijken.
Naast de eigen ransomwareversies richtte LockBit zich ook op het aanvallen van systemen die als cruciaal worden beschouwd voor operationele continuïteit, zoals virtuele servers, back-upomgevingen en netwerkschijven. Daarmee wist de groep niet alleen directe schade aan te richten maar ook herstelmaatregelen te saboteren. Hierdoor kwamen getroffen organisaties in een benarde positie waarbij betaling soms als enige snelle uitweg werd gepresenteerd. Die dreiging werd nog eens versterkt door de reputatie die LockBit opbouwde als een betrouwbare maar meedogenloze onderhandelaar.
Een keerpunt, de hack op LockBit zelf
Op 7 mei 2025 veranderde het speelveld toen LockBit zelf slachtoffer werd van een aanval. Hun darkwebpagina’s werden aangepast met de opvallende boodschap “Don’t do crime CRIME IS BAD xoxo from Prague” en via een gekoppelde link werd toegang gegeven tot een SQL-database met vertrouwelijke informatie. Voor het eerst in de geschiedenis van deze groep werden interne processen, chatgesprekken en financiële sporen publiek zichtbaar. De gelekte database bevatte onder andere bijna zestigduizend unieke Bitcoinadressen en duizenden onderhandelingen tussen de groep en slachtoffers van ransomwareaanvallen.
Deze gegevens brachten een zeldzaam en onthullend beeld van hoe LockBit opereerde achter gesloten schermen. De gesprekken met slachtoffers tonen een breed scala aan onderhandelingstechnieken, variërend van empathisch tot intimiderend, waarbij bedragen tussen de vierduizend en honderdvijftigduizend dollar werden geëist, afhankelijk van de impact van de aanval en de aard van de gestolen gegevens. In sommige gevallen boden de aanvallers technische ondersteuning aan bij het herstellen van systemen na betaling, waarmee zij probeerden betrouwbaarheid uit te stralen in hun criminele dienstverlening.
De hack legde ook bloot dat LockBit zijn digitale infrastructuur zorgvuldig had opgebouwd en dat affiliates, de partners die aanvallen uitvoerden, via een specifiek paneel toegang hadden tot slachtoffers, bestanden en betaalinformatie. De SQL-bestanden tonen de mate van centralisatie binnen het netwerk en dat de kern van de groep directe controle uitoefende op de transactiestromen. Het is dan ook aannemelijk dat deze gegevens nu waardevol zijn voor opsporingsinstanties, die hiermee verbanden kunnen leggen tussen transacties en identiteitssporen van de betrokkenen.
Analyse van gelekte informatie en historische gegevens wijst op een consistent draaiboek van kwetsbaarheden die als wapens kunnen worden gebruikt. Voor beveiligingsteams vertegenwoordigt de volgende lijst kritieke blootstellingen die onmiddellijke patching of beperking vereisen, om bekende toegangspunten voor LockBit te elimineren:
| CVE ID | Product Name | Vendor | QDS (QVS) | QID |
|---|---|---|---|---|
| CVE-2023-4966 | NetScaler ADC/Gateway | Citrix | 95 | 378935 |
| CVE-2023-27351 | PaperCut MF/NG | PaperCut | 95 | 730790, 378441 |
| CVE-2023-27350 | PaperCut MF/NG | PaperCut | 100 | 730790, 378441 |
| CVE-2023-0669 | GoAnywhere MFT | Fortra | 95 | 730720 |
| CVE-2022-36537 | ZK Framework | Potix | 95 | 378,061 |
| CVE-2022-22965 | Spring Framework | VMware | 100 | Multiple QIDs |
| CVE-2022-21999 | Windows Print Spooler | Microsoft | 95 | 91857 |
| CVE-2021-44228 | Apache Log4j2 | Apache | 100 | Multiple QIDs |
| CVE-2021-36942 | Windows LSA | Microsoft | 95 | 91813, 91803 |
| CVE-2021-34523 | Exchange Server | Microsoft | 100 | 50114, 50112 |
| CVE-2021-34473 | Exchange Server | Microsoft | 100 | 50114, 50107 |
| CVE-2021-31207 | Exchange Server | Microsoft | 95 | 50114, 50111 |
| CVE-2021-22986 | BIG-IP | F5 Networks | 100 | 38833, 375344 |
| CVE-2021-20028 | SMA Firmware | SonicWall | 94 | 731853 |
| CVE-2020-1472 | Netlogon | Microsoft | 100 | Multiple QIDs |
| CVE-2019-7481 | SMA100 | SonicWall | 95 | 730221 |
| CVE-2019-19781 | Citrix ADC/Gateway | Citrix | 100 | 372685, 372305 |
| CVE-2019-11510 | Pulse Connect Secure | Ivanti | 100 | 38771 |
| CVE-2019-0708 | Remote Desktop Services | Microsoft | 100 | 91893, 91541, 91534 |
| CVE-2018-13379 | FortiOS SSL VPN | Fortinet | 100 | 43702 |
Impact op het criminele ecosysteem en reacties binnen de scene
De aanval op LockBit had onmiddellijk gevolgen binnen het cybercriminele ecosysteem. Waar de groep voorheen bekend stond als een onbetwiste leider in de ransomwaremarkt, is nu het fundament van vertrouwen en anonimiteit ondermijnd. Affiliates, die eerder afhankelijk waren van de diensten van LockBit, moeten heroverwegen of samenwerking nog verstandig is. In de wereld van georganiseerde cybercriminaliteit is vertrouwen essentieel en de publicatie van interne gegevens brengt risico’s met zich mee voor iedereen die met de groep in verband staat.
De timing van deze aanval is ook relevant in het bredere context van internationale handhavingsinspanningen. In februari 2024 werd Operation Cronos uitgevoerd, waarbij servers van LockBit in beslag werden genomen en arrestaties volgden. De recente hack lijkt deze lijn van verstoring voort te zetten. De combinatie van juridische en anonieme actietactieken heeft het ecosysteem rondom LockBit ernstig verstoord. Dit zal mogelijk ook andere ransomwaregroepen beïnvloeden. In gesprekken op ondergrondse fora is al merkbaar dat angst en wantrouwen toenemen. Groepen worden nerveus en heroverwegen hun communicatiemiddelen, partnerschappen en werkwijze.
Voor slachtoffers van eerdere LockBitaanvallen brengt deze hack zowel hoop als onzekerheid. De openbaarmaking van adressen en chats kan leiden tot hernieuwde onderzoeken, terugvorderingsacties van losgeld en zelfs juridische geschillen. Tegelijkertijd biedt het hen de kans om te begrijpen hoe onderhandelingen werden gevoerd, welke technieken zijn toegepast en op welke manier de aanvallers systemen hebben gecompromitteerd. Dit kan waardevolle lessen opleveren voor toekomstige preventie en incidentresponse.
Wat organisaties kunnen leren van deze onthulling
De gegevens die zijn vrijgekomen uit de hack op LockBit bieden concrete aanknopingspunten voor organisaties om hun digitale weerbaarheid te versterken. De lijst met kwetsbaarheden die de groep routinematig misbruikte, bevat zowel oude als recent ontdekte lekken in veelgebruikte software zoals Citrix NetScaler, PaperCut, VMware ESXi en Microsoft Exchange. Door deze bekende CVE’s prioriteit te geven in patchbeheer kunnen organisaties de kans op succesvolle aanvallen aanzienlijk verkleinen. Daarbij is het essentieel om ook aandacht te geven aan systemen die vaak over het hoofd worden gezien, zoals back-upomgevingen, NAS-opslag en remote beheertools.
De onderhandelingstranscripten tonen ook hoe belangrijk basismaatregelen zijn. In verschillende gesprekken maakten de aanvallers gebruik van standaardwachtwoorden of toegangen zonder multifactor-authenticatie. Dit wijst erop dat relatief eenvoudige beveiligingsmaatregelen zoals het gebruik van unieke wachtwoorden, segmentatie van netwerken en beperkingen op beheerdersrechten een groot verschil kunnen maken. Organisaties zouden ook moeten investeren in het detecteren van abnormaal netwerkgedrag, zoals ongebruikelijke bestandstransfers of onverwachte versleuteling van data.
Daarnaast blijkt dat LockBit de voorkeur gaf aan een breed scala aan besturingssystemen en netwerkomgevingen, inclusief Linux, Windows en virtualisatieplatformen. Dit benadrukt de noodzaak van een holistische aanpak waarbij niet alleen endpoints worden beschermd maar ook virtuele infrastructuren en beheersinterfaces. Door deze systemen als kritieke assets te behandelen, met dezelfde beveiligingsmaatregelen als traditionele servers, verklein je de kans dat ze als springplank worden gebruikt voor grootschalige versleuteling of datadiefstal.
Tot slot laat deze gebeurtenis zien dat cybercriminelen, hoe geavanceerd ook, zelf kwetsbaar zijn. De combinatie van digitale sabotage en gelekte informatie is een krachtig middel dat de dynamiek binnen het cybercriminele landschap kan verschuiven. Voor cybersecurityteams biedt het een unieke kans om bestaande verdedigingsmaatregelen te toetsen aan de praktijk en gericht verbeteringen door te voeren op basis van wat nu bekend is over de aanvalsmethoden van LockBit. Leren van de vijand, zeker wanneer deze ongewild zijn eigen strategieën blootgeeft, is een waardevolle stap in het versterken van onze digitale weerbaarheid.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Rey
Reactie plaatsen
Reacties