De LockBit ransomware-as-a-service (RaaS)-operatie heeft zijn leksite opnieuw gelanceerd, slechts een week later een gecoördineerde takedown-operatie van de mondiale rechtshandhaving.
Op 19 februari voerde de “Operatie Cronos Taskforce” – waartoe onder meer de FBI, Europol en de Britse National Crime Agency (NCA) behoren – een grootschalige actie uit. Dat meldt de Britse National Crime Agency (NCA).heeft de taskforce de infrastructuur verspreid over drie landen platgelegd, waaronder tientallen servers. Het heeft code en andere waardevolle informatie in beslag genomen, grote hoeveelheden gegevens die van zijn slachtoffers zijn gestolen en meer dan 1,000 bijbehorende decoderingssleutels. Het vernielde de leksite van de groep en het aangesloten portaal, bevroor meer dan 200 cryptocurrency-accounts, arresteerde een Poolse en een Oekraïense staatsburger en klaagde twee Russische staatsburgers aan.
Een woordvoerder van de NCA vatte het samen op 26 februari, vertelde Reuters dat de groep “volledig gecompromitteerd blijft.”
De persoon voegde er echter aan toe dat “ons werk om hen aan te pakken en te ontwrichten doorgaat.”
Operatie Cronos was misschien niet zo veelomvattend als het aanvankelijk leek. Hoewel wetshandhavers de primaire infrastructuur van LockBit konden beschadigen, de leider gaf dit toe in een briefbleven de back-upsystemen onaangeroerd, waardoor de operatie snel kon herstellen.
Het bericht achtergelaten op het aangesloten portaal van LockBit; Bron: vx-underground via X (voorheen Twitter)
“Uiteindelijk is het een flinke klap van de rechtshandhaving tegen hen”, zegt voormalig FBI-speciaal agent Michael McPherson, nu senior vice-president technische operaties bij ReliaQuest. “Ik denk niet dat iemand naïef genoeg is om te zeggen dat dit de nagel aan de kist is voor deze groep, maar dit is een klap voor het lichaam.”
LockBit's kant van het verhaal
Het zou verstandig zijn om de leider van LockBit met scepsis te begroeten. “Net als veel van deze jongens in de ransomware-wereld, hij heeft een behoorlijk ego, hij is een beetje vluchtig. En het is bekend dat hij behoorlijk sterke verhalen vertelt als dat zijn doel uitkomt”, zegt Kurtis Minder, ransomware-onderhandelaar en medeoprichter en CEO van GroupSense.
In zijn brief slaat de persoon of personen die Minder ‘Alex’ noemt echter een opmerkelijk bescheiden toon aan.
“Vanwege mijn persoonlijke nalatigheid en onverantwoordelijkheid heb ik ontspannen en PHP niet op tijd bijgewerkt”, schreef de ransomware-leider, daarbij verwijzend naar de kritische PHP-bug met een 9.8 van de 10 CVSS-ratings. CVE-2023-3824 “waardoor toegang werd verkregen tot de twee hoofdservers waarop deze versie van PHP stond geïnstalleerd. Ik realiseer me dat het misschien niet deze CVE is geweest, maar iets anders zoals 0day voor PHP, maar ik weet het niet 100% zeker.”
Cruciaal is dat hij eraan toevoegt: “Alle andere servers met back-upblogs waarop PHP niet is geïnstalleerd, blijven onaangetast en zullen gegevens blijven verspreiden die zijn gestolen van de aangevallen bedrijven.” Dankzij deze redundantie was de leksite van LockBit na een week weer operationeel, met een tiental slachtoffers: een leenplatform, een nationaal netwerk van tandheelkundelaboratoria en, met name, Fulton County, Georgia, waar voormalig president Trump is gevestigd. momenteel verwikkeld in een juridische strijd.
Bron: Bitdefender
Heeft wetshandhaving een impact?
De wetshandhaving in de VS en de EU haalt al jaren het nieuws met spraakmakende aanvallen op grote ransomware-operaties: Bijenkorf, AlphV/BlackCat, Ragnar-kast, enzovoort. En dat ondanks deze inspanningen ransomware blijft stijgen kan bij sommigen tot apathie leiden.
Maar in de nasleep van dergelijke invallen, legt McPherson uit: “Ofwel zijn deze groepen niet opnieuw samengesteld, ofwel zijn ze op kleinere schaal hersteld. Hive is er bijvoorbeeld nog niet in geslaagd terug te komen. Er was wel interesse in, maar het kwam er niet echt van.''
Zelfs als de wetshandhaving LockBit niet volledig heeft uitgeroeid, heeft dit de hackers waarschijnlijk nog steeds grote schade toegebracht. Minder wijst er bijvoorbeeld op dat “ze blijkbaar toegang kregen tot een deel van de informatie van de aangesloten bedrijven”, wat de autoriteiten een aanzienlijke invloed geeft.
“Als ik een affiliate ben, of een andere ransomware-ontwikkelaar ben, denk ik misschien wel twee keer na over de interactie met deze mensen, voor het geval ze werd FBI-informant. Er ontstaat dus enig wantrouwen. En aan de andere kant denk ik dat ze hetzelfde met LockBit doen door te zeggen: 'Hé, we weten eigenlijk wie alle aangesloten bedrijven zijn, we hebben al hun contactgegevens.' Dus nu gaat LockBit zijn eigen dochterondernemingen wantrouwen. Het is een beetje chaos. Het is interessant."
Om ransomware op de langere termijn echt op te lossen, moeten overheden flitsende verwijderingen mogelijk aanvullen met effectief beleid en programma’s.
“Er moet een evenwichtig programma komen, misschien op het niveau van de federale overheid, dat daadwerkelijk helpt bij preventie, als reactie, bij herstel. Ik denk dat als we zouden zien hoeveel kapitaal de Amerikaanse economie feitelijk verlaat als gevolg van dit soort activiteiten, we zouden zien dat het zinvol zou zijn om een dergelijk programma te subsidiëren, dat mensen ervan zou weerhouden losgeld te moeten betalen.” hij zegt.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-
