Leden beruchte hackersbende Lockbit gearresteerd, beslag op bitcoins

20 februari 2024 RTL Nieuws

Twee leden van de beruchte hackersbende Lockbit zijn gearresteerd in Polen en Oekraïne. Ook zijn er honderden cryptoportemonnees met daarin geld van slachtoffers in beslag genomen. Over drie dagen wordt bekendgemaakt wie de baas van Lockbit is.

Leden beruchte hackersbende Lockbit gearresteerd, beslag op bitcoins

De vraag wie achter Lockbit zit, houdt de cybersecuritywereld al jaren bezig. De baas van Lockbit loofde zelfs 10 miljoen dollar uit aan de persoon die achter zijn identiteit kan komen.

De Britse opsporingsdienst, die samenwerkte met de Nederlandse politie, stelt nu het antwoord te hebben op die 10 million dollar question. Op de website van Lockbit, die op het dark web staat, loopt nu een timer af – een knipoog naar de timers die de bende zelf altijd gebruikte voor zijn slachtoffers.

Twee Russen

Het is vooralsnog onbekend wat de rol van de twee gearresteerde binnen Lockbit was. Naast deze twee klaagt het Amerikaanse ministerie van Justitie ook twee andere mensen aan: Ivan Kondratyev en Artur Sungatov, beide Russen, die onderdeel zouden uitmaken van de Lockbit-bende.

Rusland heeft geen uitleveringsverdrag met het Westen. Daarom kunnen cybercriminelen in Rusland meestal hun gang gaan, zolang ze geen Russische bedrijven aanvallen.

Zo ziet de website van Lockbit er nu uit.

Systemen gehackt

De politie laat blijken al geruime tijd in de systemen van Lockbit te hebben gezeten. Zo hebben ze niet alleen toegang tot honderden cryptoportemonnees met daarin losgeld van slachtoffers, maar ook tot de digitale sleutels waarmee computers van slachtoffers van het slot kunnen worden gehaald.

Daarnaast publiceert de politie alle technische informatie van Lockbit, om te laten zien hoe de criminelen precies te werk gingen. De afgelopen jaren maakte de bende wereldwijd duizenden slachtoffers.

Zo onderhandelde Lockbit met zijn slachtoffers

Lockbit is een van de meest beruchte ransomwarebendes van de afgelopen jaren. Ze hacken grote bedrijven, gijzelen hun systemen en stelen alle gegevens op de computer. Vervolgens persen ze de bedrijven af. In Nederland deden ze dat onder andere bij verschillende bedrijven en, het bekendste slachtoffer: de KNVB.

KNVB betaalde losgeld

De KNVB betaalde het gevraagde losgeld. Hoeveel dat was, is tot op de dag van vandaag niet bekend. Lockbit dreigde vertrouwelijke documenten van de KNVB te lekken, onder andere paspoortkopieën en contracten van de Oranjespelers.

“Lockbit was de laatste maanden aan het radicaliseren”, zo stelt cybersecurityonderzoeker Rickey Gevers van Responders.NU. Gevers kent Lockbit goed: voor zijn werk – hij helpt slachtoffers van ransomware – onderhandelt hij regelmatig met de bende. “Die radicalisering heeft hen waarschijnlijk de das omgedaan.”

‘Vielen nu ook actief ziekenhuizen aan’

De laatste maanden was er vrijwel geen ruimte meer om te onderhandelen met Lockbit, vertelt hij: “Dit zorgde ervoor dat bedrijven überhaupt niet meer bij hun computers konden komen. Daarnaast had Lockbit altijd de regel dat ze geen ziekenhuizen aanvielen, maar die regel hebben ze de laatste maanden laten vallen. Het leek erop dat ze zelfs actief ziekenhuizen aan het aanvallen waren, en dan kom je veel sneller in het vizier van opsporingsinstanties.”

John Fokker, onderzoeker bij cybersecuritybedrijf Trellix, volgt Lockbit ook al jaren: “De baas van Lockbit is brutaal. Hij geeft over-the-top interviews en pronkt graag met zijn criminele business. Dat heb ik altijd opvallend gevonden, zijn narcistische drang om zichzelf zo te laten profileren. Als crimineel blijf je natuurlijk liever onder de radar.”

Typerend voor Lockbit is hun tattoo-actie. In 2022 beloofde de bende 1000 dollar in bitcoin aan iedereen die het logo van Lockbit zou laten tatoeëren.

Een persoon die het logo van Lockbit liet tatoeëren voor 1000 dollar.

In het vizier

De Britse politie en de FBI zeggen ook achter de handlangers van Lockbit aan te gaan. “We hebben een flinke hoeveelheid informatie van hun systemen verkregen en zullen ons vizier op Lockbit en hun handlangers blijven richten”, zo laat een woordvoerder weten.

Dat is volgens Fokker precies het doel van deze actie – dat de cybercriminelen voortaan over hun schouder kijken: “Als je ze niet altijd kan arresteren is het verstoren van hun business en onrust zaaien het belangrijkste. Hoe veiliger criminelen zich voelen, hoe beter ze gaan samenwerken. Dat heeft nu een flinke dreun gekregen.”

Gestolen geld

De komende dagen gaan de opsporingsdiensten niet alleen de identiteit van de baas van Lockbit bekendmaken, maar ook meer informatie delen over andere criminele Lockbit-hackers en wat er met al het gestolen geld is gebeurd.

De leider van Lockbit zei eerder in een interview, dat te zien is in de documentaire Ik weet je wachtwoord op Videoland, dat het voor hen niet uitmaakt welke organisaties ze hacken: “We vallen iedereen aan, en de makkelijkste doelwitten zijn gierige organisaties die geen geld willen spenderen om hun netwerk goed te beveiligen.”

KNVB zwicht voor Russische chantage

12 september 2023 Computable

De KNVB blijkt in april door de knieën te zijn gegaan voor chantage door de Russische hackersgroep LockBit. Uit angst voor openbaarmaking van de torenhoge salarissen van voetballers en voetbaltrainers heeft de voetbalbond losgeld betaald aan de criminelen. Lockbit staat er bekend om zeer forse bedragen te eisen. Chipgigant TSMC werd onlangs gemaand met zeventig miljoen dollar losgeld over de brug te komen.

KNVB zwicht voor Russische chantage

Overigens bestaat er geen enkele zekerheid dat de criminelen waarmee de KNVB zaken heeft gedaan, zich aan de gemaakte afspraken houden. Nog altijd dreigen contractgegevens naar buiten te komen. Evenmin kan de KNVB garanderen dat de criminelen geen misbruik maken van gegevens uit documenten over lopende tuchtzaken en gedetailleerde informatie over de bedrijfsvoering en commerciële zaken van de bond. Mogelijk buitgemaakte bestanden bevatten persoonsgegevens waarvan de verspreiding gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen, stelt de KNVB vandaag in een persbericht.

Verbazing is er over de timing. De pijnlijke affaire speelde in april en pas nu treedt de bond naar buiten. Dave Maasland, directeur bij cyberbeveiliger Eset en commissaris bij Sparta, is op Radio1 niet minder verbaasd en verwacht actie van de Autoriteit Persoonsgegevens. Hij denkt dat de AP vooral gaat kijken naar de communicatie hierover. ‘Het is al in april gebeurd. Had dit niet eerder gedeeld kunnen worden dan nu in september? Ik denk dat de KNVB hier nog niet klaar mee is,’ aldus Maasland voor de Radio1-microfoon.

Signalen

De KNVB erkent ‘niet volledig te kunnen terugvallen’ op beloften van criminelen. ‘We informeren daarom betrokkenen van wie mogelijk gegevens zijn buitgemaakt of ingezien. Dit stelt hen in staat om ook zelf extra alert te blijven op eventuele signalen van misbruik van hun gegevens.’

De oproep ‘extra alert te zijn’ vindt Maasland niet concreet genoeg. ‘In slachtoffercommunicatie moet je zo duidelijk mogelijk zijn. Wat je moet willen communiceren is dat mensen erop letten dat er geen identiteitsdiefstal wordt gepleegd, dat je geen vreemde aanvragen binnenkrijgt.’

Overigens waren er al eerder indicaties dat de KNVB eind april al is gezwicht voor de chantage van LockBit. Al vrij snel na de melding van de hack verdween de KNVB als organisatie uit de lijst van de bedrijven van wie de criminele bende geld eist. LockBit heeft over de hele wereld talloze slachtoffers gemaakt. In Nederland behoren Kendrion uit Amsterdam, elektrotechniekbedrijf , Joris Zorg uit Oirschot, en Metalnet uit Valkenswaard tot de gedupeerden. Het betalen van losgeld helpt het verdienmodel van de veelal Russische criminele bendes in stand te houden.

Gijzelsoftwarebende doelwit van internationale politieactie

6 maart 2023 NOS

Europol

De Duitse en Oekraïense politie hebben eind vorige maand huiszoekingen gedaan bij veronderstelde leden van een bekende ransomware-bende. Ze kregen daarbij hulp van de Nederlandse politie, de Europese politieorganisatie Europol en de Amerikaanse FBI.

Gijzelsoftwarebende doelwit van internationale politieactie

De politie van de Duitse deelstaat Noordrijn-Westfalen identificeerde elf mogelijke verdachten. Zij zouden betrokken zijn bij een bende die sinds 2010 organisaties afperst met gijzelsoftware. Die software draagt de naam DoppelPaymer, maar is ook bekend onder namen als Hades en Phoenix. De bende richtte zich de laatste jaren vooral op sectoren die van vitaal belang zijn, zoals de gezondheidszorg en het onderwijs.

Voor zover bekend is niemand aangehouden. De huiszoekingen vonden gelijktijdig plaats in Duitsland en in Oekraïne, waar gebouwen in Kyiv en Charkiv werden doorzocht. In Oekraïne werd ook een verondersteld lid van de bende verhoord. Gevonden apparatuur en data worden momenteel door de politiekorpsen onderzocht. Nog eens drie mensen, onder wie twee Russen, zijn voortvluchtig.

Patiënt overleden

De groep internetcriminelen, in cybersecuritykringen onder meer bekend als EvilCorp en Indrik Spider, werkte op grote schaal. Wereldwijd zijn ruim 600 organisaties slachtoffer geworden, waaronder de Britse nationale gezondheidsdienst NHS. Amerikaanse gedupeerden betaalden tussen mei 2019 en maart 2021 bij elkaar minstens 40 miljoen euro losgeld aan de bende, meldt Europol. De politie kon vandaag niet aan de NOS bevestigen of er ook Nederlandse bedrijven en instellingen slachtoffer zijn geworden.

In Duitsland werden zeker 37 organisaties getroffen. Een daarvan was het universitair ziekenhuis van Düsseldorf. Een patiënte die ten tijde van de cyberaanval in 2020 niet geholpen kon worden overleed, nadat ze met spoed naar een ander ziekenhuis was gebracht.

Dubbel betalen

De gijzelsoftware werd verspreid met phishingmails met besmette bijlagen. Als een ontvanger de bijlage opende, drongen de cybercriminelen binnen in de computersystemen. De gijzelsoftware vergrendelde dan de computersystemen en de hackers maakten ondertussen bedrijfsgegevens en gevoelige data buit.

Slachtoffers moesten dubbel losgeld betalen: zowel om de controle over hun systemen terug te krijgen als om te voorkomen dat de gestolen informatie openbaar werd gemaakt. De bende had een speciale website om gestolen data te verdelen of te verkopen.

De groep had daarnaast een ‘helpdesk’ om slachtoffers uit te leggen hoe het losgeld betaald moest worden en hoe de systemen moesten worden ontgrendeld. Ook zocht de ransomware-bende actief naar nieuwe ‘medewerkers’.

Gezochte Russische cybercrimineel aangehouden op Schiphol

13 november 2021 NOS

De Koninklijke Marechaussee heeft op 2 november een Russische zakenman aangehouden op Schiphol op verdenking van grootschalige hackaanvallen. De 29-jarige Denis Doebnikov zou behoren tot de Russische ransomwaregroep Ryuk. De arrestatie gebeurde op verzoek van de Amerikaanse FBI.

Gezochte Russische cybercrimineel aangehouden op Schiphol

Ryuk is volgens het aanhoudingsbevel dat door de Volkskrant werd ingezien verantwoordelijk voor 2400 digitale besmettingen met gijzelsofware in de afgelopen twee jaar. Dat zou de groep 87 miljoen euro aan losgeld hebben opgeleverd. Doebnikov zou losgeld hebben witgewassen.

De Rus was eerder tijdens een vlucht naar Bolivia tegengehouden in Mexico, vermoedelijk op verzoek van de Amerikanen. Hij kreeg opdracht een ticket voor een vlucht naar Moskou te kopen met een tussenstop in Amsterdam. Daar werd hij door de marechaussee aangehouden. Het Openbaar Ministerie zal hem naar alle waarschijnlijkheid overdragen aan de Amerikanen.

De aanhouding wordt gezien als een grote vangst. Ryuk zou onder meer verantwoordelijk zijn voor ransomware-aanvallen vorig jaar op Amerikaanse ziekenhuizen. Rusland levert geen onderdanen uit, dat maakt het moeilijk om Russische cybercriminelen aan te pakken. Veel aanvallen met gijzelsoftware worden toegeschreven aan Russische hackersgroepen.

Volgens de Wall Street Journal heeft Doebnikov aan zijn werk voor Ryuk meer dan 350.000 euro overgehouden. Zijn advocaat zegt dat zijn cliënt onschuldig is.