N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Profiel
Gijzelsoftwarebedrijf Met de gijzelsoftware van LockBit worden wereldwijd bedrijven platgelegd. Als ze losgeld betalen krijgen ze hun data terug, anders komen die op straat te liggen. LockBit beweert vanuit Nederland te opereren.
Hackers die gebruik willen maken van de beste gijzelsoftware die momenteel op de markt is, moeten eerst de regels van de aanbieder lezen. Die staan op een website die bereikbaar is met de Tor-browser, die toegang geeft tot het verscholen internet.
De uitleg begint met een welkomstwoord van de leiding: „Het oudste internationale [gijzelsoftware] LockBit affiliate programma heet je welkom. Onze uitvalsbasis is Nederland, we zijn volledig a-politiek en louter geïnteresseerd in geld.’
Gijzelsoftwarebouwer LockBit is een begrip onder hackers. Sinds 2019 op de markt en sindsdien uitgegroeid tot de wereldwijde marktleider in het ‘ransomware as a service’-segment. In de software-onderwereld zijn, net als in de bovenwereld, een paar grote aanbieders wereldwijd dominant. Ze zijn het gemakkelijkst in het gebruik, hebben de minste bugs, de beste 24-uurs helpdesk en het uitgebreidste pakket aan diensten.
Hackers die een gat in de beveiliging van een bedrijf of instelling hebben gevonden, gebruiken de software van deze bendes om de data binnen dat netwerk te stelen en vergrendelen. Pas na betaling van losgeld geven ze die weer vrij.
Lang was de Russische bende Conti de grootste. Die viel uiteen toen Rusland Oekraïne binnenviel en Conti zich openlijk pro-Poetin betoonde. LockBit domineert nu de ranglijsten die IT-beveiligers en opsporingsdiensten bijhouden en is de marktleider.
:format(webp)/s3/static.nrc.nl/bvhw/files/2023/06/data101466505-fc7466.jpg)
Het staat vast dat hackers die LockBit-software gebruiken ook in Nederland slachtoffers maken. Dat blijkt onder meer uit overzichten met gehackte bedrijven op de website van LockBit. Op die overzichten verschijnen wekelijks tientallen namen van bedrijven en organisaties, waaronder geregeld Nederlandse. Naast de url van het getroffen bedrijf staat een teller. Die houdt exact het aantal dagen, uren, minuten en seconden bij totdat de gestolen data worden gepubliceerd. Heb je niet voor de deadline betaald, dan ben je de bestanden kwijt en zijn ze voor iedereen via de website van LockBit te downloaden.
Elektrotechniekbedrijf Knipmeijer en Blok uit Diemen kreeg tot 7 juni 21.35 uur UTC (wereldwijde standaardtijd, 23.35 uur in Nederland) de tijd om te betalen. Dat hebben ze niet gedaan. Nu zijn hun gestolen data via het blog van LockBit te downloaden. Het gaat onder meer om facturen, bouwtekeningen en prijslijsten. Het bedrijf heeft aangifte gedaan en wil lopende het politie-onderzoek niet over de ervaring vertellen, zegt een medewerker telefonisch.
Recenter werden ook Joris Zorg, een zorgorganisatie uit Oirschot en Metalnet uit Valkenswaard slachtoffer, blijkt uit het overzicht. Bij Metalnet lagen op een maandag in mei op alle printers losgeldbrieven met (in het Engels) „we hebben dit bedrijf gehackt” en verdere instructies. Omdat het bedrijf goede back-ups had, besloot het niet te onderhandelen.
Uit het overzicht blijkt wie een lek in de beveiliging heeft gehad. Wie heeft betaald, verdwijnt van de site.
De KNVB staat er bijvoorbeeld niet meer in. Begin april werd duidelijk dat de servers van de voetbalbond waren gehackt en vervolgens met LockBit 3.0 software gegijzeld. Daarbij waren onder meer persoonlijke gegevens van medewerkers gestolen. De bond deed melding en aangifte van de hack en wil er nu verder niet over praten, zegt een woordvoerder. Feit is dat het niet meer in het LockBit-overzicht staat. Dat is vaak een indicatie dat is betaald.
24 uur per dag
Dat er Nederlandse instellingen onder de slachtoffers zijn, zegt niet dat de criminelen ook daadwerkelijk in Nederland zitten of zelfs Nederlands zijn. Met die verklaring op hun site zeggen ze dat ze de gestolen data vanuit Nederland uploaden, legt Marc Rivero van IT-beveiligingsbedrijf Kaspersky uit via een videoverbinding. Hij is senior security researcher bij het Global Research and Analysis team en werkt vanuit Spanje. „Om eerlijk te zijn hebben we geen idee waar die gasten zitten. Als we dat wel hadden, zouden ze inmiddels vastzitten.” Vaak zijn de tijdzones waarin groepen hackers actief zijn een indicatie van hun locatie. Bij LockBit speelt dat niet; de ‘dienstverlening’ aan slachtoffers die willen onderhandelen over het losgeld gaat 24 uur per dag door.
Wat ons aantrekkelijk maakt voor bedrijven, doet dat ook voor criminelen
De FBI heeft sinds 5 januari 2020 – de datum van de eerste aanval onder de naam LockBit in de Verenigde Staten zo’n 1.700 aanvallen met LockBit-software geregistreerd en schat dat tot nu toe 91 miljoen dollar aan losgeld is betaald vanuit de VS. Dit soort statistieken bestaan niet van Nederland. De Nederlandse politie en het Openbaar Ministerie zeggen momenteel niets over LockBit te kunnen delen. Dus ook niet of de bende vanuit Nederland opereert.
Dat laatste is bovendien een ruim begrip. Moeten daarvoor de belangrijkste mensen uit zo’n groep in Nederland wonen? Of gaat het erom dat criminelen gebruik maken van servers die in Nederland staan? Dat laatste komt veel voor.
„Wat Nederland aantrekkelijk maakt voor bedrijven, namelijk snelle en betrouwbare infrastructuur, doet dat ook voor criminelen”, zegt Matthijs Jaspers, teamleider van het team hightech crime van de Landelijke Eenheid van de politie. Nederland heeft weinig stroomstoringen, snel internet en sterke privacyregels. „Ons digitale vestigingsklimaat is goed.”
Over LockBit zwijgt Jaspers. „Het zou gek zijn als zo’n heel actieve groepering onze aandacht niet zou hebben. Maar we kunnen hier op dit moment verder niet meer over zeggen.”
:format(webp)/s3/static.nrc.nl/bvhw/files/2022/11/data93311000-bac693.jpg)
Ransomware-bendes bestaan uit een kernteam van programmeurs en bedrijfsleiding en een veel grotere groep ‘affiliates’, hackers die de software inzetten. Dat zijn er in het geval van LockBit veel. Het is een uiterst zakelijke wereld.
Dat LockBit-software populair is, komt doordat die het goed doet. Bovendien verloopt het afrekenen (in cryptovaluta) van het losgeld op een voor de hackers prettige manier. Het losgeld gaat eerst naar de hacker, die geautomatiseerd 20 procent doorsluist naar LockBit. Zo weet de hacker zeker dat hij betaald krijgt.
De groep werkt volgens Kaspersky aan een update van de software waardoor die voor hackers beter inzetbaar wordt op onder meer Apple-computers die op MacOS draaien. „Daar wordt nu actief mee getest”, zegt Rivero.
Het is gissen waarom Nederland wordt genoemd als basis voor de bende. Concurrent Conti ging kapot na een openlijke steunbetuiging aan Poetin. Té Russisch overkomen is dus niet strategisch.
Mogelijk is het een indirect compliment aan de Nederlandse politie, denkt Rivero. „De Nederlandse politie is net als wij actief in het No More Ransom-project, waarin wordt geprobeerd een aantal van die spelers neer te halen of in ieder geval het losgeld terug te krijgen.”
De bewering in Nederland te zitten is in die redenatie een soort lange neus. In No More Ransom werken IT-bedrijven, politie, Europol en andere experts samen om slachtoffers van ransomware te helpen. Het probleem is de afgelopen jaren zo groot en wijdverbreid geworden dat „gemakkelijk kan worden gesproken van een epidemie”, staat op de site.
Raden wie de baas is
Bluf is duidelijk onderdeel van de marketingstrategie van de criminele groepering. Toen in 2022 de 2.0 versie van de software werd uitgebracht, loofde LockBit een miljoen dollar uit voor wie de identiteit zou kunnen achterhalen achter het online personage ‘LockBitSupp’, die de baas van de groep moet voorstellen en namens de groep spreekt op online fora waar hackers elkaar treffen. Op basis van analyses van het taalgebruik gaan experts ervan uit dat dit inderdaad al een aantal jaar één persoon is. Eerder konden mensen 1.000 dollar krijgen voor het zetten van een LockBit-tattoo. Wat volgens de foto’s die ze deelden ook gebeurde.
LockBit levert niet alleen de software voor het versleutelen van een netwerk nadat een hacker daar is binnengekomen. Het voert bij slachtoffers die ‘marketingwaarde’ hebben ook zelf de onderhandelingen. Dit doet het om de meedogenloze reputatie van LockBit hoog te houden. „Onderhandelen met LockBit kan vreselijk zijn”, zegt Rickey Gevers, die met zijn bedrijf Responders.NU losgeldonderhandelingen voert voor slachtoffers.
Normaliter zijn behoorlijke kortingen te bedingen als een bedrijf gegijzeld is, legt hij uit. „Maar bij LockBit kun je echt pech hebben en met ‘TheBoss’ ofwel LockBitSupp te maken krijgen. Deze persoon geeft in de regel amper korting en vraagt heel hoge bedragen.” Dat doet de organisatie volgens Gevers voor haar naamsbekendheid. „Ze zetten het slachtoffer dan in als marketinginstrument en liggen er niet van wakker wanneer het slachtoffer niet betaalt, aangezien de naam Lockbit dan overal in de media komt.”
Gevers, zelf ex-hacker en veelvuldig te vinden op fora voor hackers, vermoedt net als andere deskundigen dat de LockBit-leiding Russisch is of in elk geval een link heeft met Rusland of andere delen van de voormalige Sovjet-Unie. Het feit dat ze al vier jaar actief zijn, duidt hier op. In andere landen worden cybercriminelen sneller gepakt, in Rusland blijven ze ongemoeid. Het blijkt ook uit de computercode, zegt Gevers. Toen de Russische bende Conti uit elkaar viel, konden andere programmeurs zien dat een deel van de computercode van Conti werd overgenomen door LockBit, wat duidt op overlopers.
De bende zelf schrijft dat „de meeste van onze ontwikkelaars en partners geboren en opgegroeid zijn in de Sovjet -Unie”. Daarom mogen post-Sovjetlanden niet aangevallen worden met de software. „Maar nu zitten we in Nederland.”
