LockBit leider uit Rusland is ontmaskerd

De sancties tegen de Russische staatsburger Dmitry Khoroshev (foto), de beheerder en ontwikkelaar van de LockBit-ransomwaregroep, zijn aangekondigd door de FCDO, samen met het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën en het Australische ministerie van Buitenlandse Zaken. .

Khoroshev, ook bekend als LockBitSupp, die gedijde op anonimiteit en een beloning van $10 miljoen aanbood aan iedereen die zijn identiteit kon onthullen, zal nu worden onderworpen aan een reeks bevriezing van tegoeden en reisverboden.

Amerikaanse partners hebben ook een aanklacht tegen hem geopend en bieden een beloning van maximaal 10 miljoen dollar aan voor informatie die tot zijn arrestatie en/of veroordeling leidt.

De acties tegen Khoroshev maken deel uit van een uitgebreid en lopend onderzoek naar de LockBit-groep door de NCA, de FBI en internationale partners die de taskforce Operatie Cronos vormen.

LockBit leverde ransomware-as-a-service (RaaS) aan een wereldwijd netwerk van hackers of ‘affiliates’, en voorzag hen van de tools en infrastructuur om aanvallen uit te voeren.

In februari maakte de NCA bekend dat zij het netwerk van de groep had geïnfiltreerd en de controle over haar diensten had overgenomen, inclusief de leksite op het dark web, waardoor de hele criminele onderneming in gevaar kwam.

De werkelijke impact van de criminaliteit van LockBit was voorheen onbekend, maar uit gegevens verkregen van hun systemen bleek dat tussen juni 2022 en februari 2024 meer dan 7.000 aanvallen werden uitgevoerd met behulp van hun diensten. De top vijf getroffen landen waren de VS, Groot-Brittannië, Frankrijk, Duitsland en China.

Op de foto: de NCA nam de controle over de diensten van de groep over, inclusief de leksite op het dark web

Aanvallen waren gericht op meer dan 100 ziekenhuizen en gezondheidszorgbedrijven en ten minste 2.110 slachtoffers werden door cybercriminelen tot enige mate van onderhandeling gedwongen.

De groep heeft de afgelopen twee maanden geprobeerd de groep weer op te bouwen, maar de NCA is van mening dat ze als gevolg van dit onderzoek momenteel op beperkte capaciteit draaien en dat de mondiale dreiging van LockBit aanzienlijk is verminderd.

LockBit heeft een nieuwe leksite gecreëerd waarop ze de schijnbare activiteit hebben opgeblazen door slachtoffers te publiceren die het doelwit waren voordat de NCA in februari de controle over haar diensten overnam, en door de eer op te eisen voor aanvallen die zijn gepleegd met behulp van andere ransomware-varianten.

Uit gegevens blijkt dat het gemiddelde aantal maandelijkse LockBit-aanvallen in Groot-Brittannië sinds de actie van februari met 73% is afgenomen, terwijl andere landen ook dalingen melden. Aanvallen lijken te zijn uitgevoerd door minder geavanceerde partners met een lagere impact.

Naast het blootleggen van de identiteit van LockBitSupp in de echte wereld, heeft het onderzoek van Operatie Cronos de NCA en partners een diep inzicht gegeven in de activiteiten en het netwerk van LockBit.

Van de 194 aangesloten bedrijven waarvan is vastgesteld dat ze tot februari 2024 de diensten van LockBit gebruikten:

• 148 gebouwde aanvallen.
• 119 voerde onderhandelingen met slachtoffers, wat betekent dat ze zeker aanslagen hebben gepleegd.
• Van de 119 die de onderhandelingen begonnen, zijn er 39 die nooit een losgeldbetaling lijken te hebben ontvangen.
• 75 heeft niet onderhandeld en lijkt dus ook geen losgeld te hebben ontvangen.

Dit betekent dat maar liefst 114 aangesloten bedrijven duizenden euro's hebben betaald om zich bij het LockBit-programma aan te sluiten en onbekende niveaus van schade hebben veroorzaakt, wat betekent dat ze het doelwit zullen zijn van wetshandhavers, maar nooit enig geld hebben verdiend met hun criminaliteit.

Het aantal actieve aangesloten bedrijven is sinds februari ook aanzienlijk gedaald, tot 69.

De NCA heeft talloze voorbeelden blootgelegd van aanvallen waarbij de decryptor die door LockBit werd geleverd aan slachtoffers die losgeld hadden betaald, niet werkte en waarbij ze geen steun kregen van aangesloten bedrijven of LockBit, wat hun onbetrouwbaarheid verder onderstreepte.

Bij een aangesloten aanval op een kinderziekenhuis in december 2022 gaf LockBitSupp een verontschuldigende verklaring af op hun leksite en bevestigde dat het de decryptor gratis aan het slachtoffer had verstrekt.

Er stond dat de aanvaller “onze regels had overtreden”, was geblokkeerd en niet langer deel uitmaakte van hun partnerprogramma. In feite bleven ze een actief lid van LockBit tot de verstoring van februari 2024, waarbij uit NCA-analyse bleek dat ze 127 unieke aanvallen ontwikkelden, 50 onderhandelingen voerden met slachtoffers en meerdere losgeldbetalingen ontvingen.

Ten slotte verwijderde LockBit, zoals door onderzoekers werd vastgesteld, niet routinematig gestolen gegevens nadat er losgeld was betaald.

NCA-directeur-generaal Graeme Biggar zei: “Deze sancties zijn enorm belangrijk en laten zien dat er geen schuilplaats is voor cybercriminelen zoals Dmitry Khoroshev, die over de hele wereld grote schade aanrichten. Hij wist zeker dat hij anoniem kon blijven, maar hij had het mis.

“We weten dat ons werk om LockBit te ontwrichten tot nu toe uiterst succesvol is geweest in het aantasten van hun capaciteiten en geloofwaardigheid onder de criminele gemeenschap. De poging van de groep tot wederopbouw heeft geresulteerd in een veel minder geavanceerde onderneming met aanzienlijk minder impact.

“De aankondiging van vandaag slaat opnieuw een grote spijker in de LockBit-kist en ons onderzoek ernaar gaat door. We richten ons nu ook op aangesloten bedrijven die LockBit-services hebben gebruikt om verwoestende ransomware-aanvallen uit te voeren op scholen, ziekenhuizen en grote bedrijven over de hele wereld.

“In samenwerking met onze internationale partners zullen we alle middelen waarover we beschikken gebruiken om andere groepen zoals LockBit te targeten, hun leiderschap bloot te leggen en hun activiteiten te ondermijnen om het publiek te beschermen.”

Minister van Sancties, Anne-Marie Trevelyan, zei: “Samen met onze bondgenoten zullen we doorgaan met het hard aanpakken van vijandige cyberactiviteiten die levensonderhoud en bedrijven over de hele wereld vernietigen.

“Door een van de leiders van LockBit te bestraffen ondernemen we directe actie tegen degenen die de mondiale veiligheid blijven bedreigen, terwijl we tegelijkertijd de kwaadaardige cybercriminele activiteiten uit Rusland blootleggen.”

Minister van Veiligheid Tom Tugendhat zei: “Cybercriminelen denken dat ze onaantastbaar zijn en verschuilen zich achter anonieme accounts terwijl ze proberen geld van hun slachtoffers af te persen.

“Door een van de leiders van LockBit te ontmaskeren, sturen we een duidelijke boodschap naar deze harteloze criminelen. Je kan niet verstoppen. Er zal gerechtigheid komen.”

De NCA en internationale partners zijn nu in het bezit van meer dan 2.500 decoderingssleutels en blijven contact opnemen met LockBit-slachtoffers om ondersteuning te bieden. Het Agentschap heeft tot nu toe proactief contact opgenomen met bijna 240 LockBit-slachtoffers in Groot-Brittannië.

Openbare berichtgeving is van cruciaal belang voor de ondersteuning van de mondiale wetshandhaving om ransomware effectief aan te pakken. Als u zich in Groot-Brittannië bevindt, moet u zo snel mogelijk de Cyber ​​Incident Signposting Site van de overheid gebruiken om te bepalen aan welke instanties u uw incident kunt melden.

De taskforce van Operatie Cronos omvat de NCA, de South West Regional Organised Crime Unit (SWROCU) en de Metropolitan Police Service in het VK; FBI en het ministerie van Justitie in de VS; Europol, Eurojust en rechtshandhavingspartners in Frankrijk (Gendarmerie), Duitsland (LKA en BKA), Zwitserland (Fedpol en de kantonpolitie van Zürich), Japan (Nationaal Politiebureau), Australië (Australische Federale Politie), Zweden (Zweedse politieautoriteit) , Canada (RCMP) en Nederland (Nationale Politie - Politie).

Deze operatie werd ook ondersteund door het Nationale Onderzoeksbureau in Finland.