LockBit, door wetshandhavers beschreven als “een van ’s werelds meest productieve ransomware bendes,” is ontmanteld in een gecoördineerde campagne waarbij functionarissen in de Verenigde Staten, het Verenigd Koninkrijk en een half dozijn andere landen betrokken waren, maakten meerdere instanties vandaag bekend.
Het Amerikaanse Ministerie van Justitie heeft een aanklacht openbaar gemaakt tegen twee Russische mannen, Artur Sungatov en Ivan Kondratyev, voor het uitvoeren van LockBit aanvallen op Amerikaanse bedrijven. Sungatov zou sinds januari 2021 fabrikanten, verzekeringsmaatschappijen en andere bedrijven in ten minste zes staten hebben aangevallen.
“Vandaag nemen de Amerikaanse en Britse rechtshandhavingsinstanties de sleutels van hun criminele operatie af,” zei U.S. Attorney General Merrick Garland in de DOJ release. “En we gaan nog een stap verder – we hebben ook sleutels verkregen van de in beslag genomen LockBit infrastructuur om slachtoffers te helpen hun in beslag genomen systemen te ontsleutelen en weer toegang te krijgen tot hun gegevens.”
Kondratyev, online bekend als “Bassterlord”, heeft naar verluidt de ransomware ingezet op doelen variërend van stadsbesturen tot bedrijven in Oregon, Puerto Rico en overzees vanaf augustus 2021.
De wereldwijde omvang van Operatie Cronos om LockBit uit te schakelen. Afbeelding: Europol” src=”https://www.todayscrypto.news/wp-content/uploads/2024/03/Operation-Cronos.png@webp.jpg” width=”828″ height=”466″ /☻
De autoriteiten namen ook de controle over van het portaal op het dark web waar LockBit gevoelige gegevens publiceerde die gestolen waren van slachtoffers die weigerden te betalen.
“We hebben nu de online ruggengraat vernietigd van de LockBit groep, een van ’s werelds meest productieve ransomware bendes,” zei Europol Executive Director Catherine De Bolle in de verklaring.
“De eerste stap om cybercriminelen achter de tralies te krijgen is het melden van cybercriminaliteit op het moment dat het gebeurt,” voegde ze eraan toe. “Hoe eerder mensen aangifte doen, hoe sneller de rechtshandhaving in staat is om nieuwe methodes te beoordelen en de schade die ze kunnen aanrichten te beperken.”
In 2022 overschaduwde LockBit andere ransomware-stammen en werd het volgens Europol de meest gebruikte ter wereld. Het syndicaat harkte meer dan 120 miljoen dollar aan losgeld binnen van meer dan 2.000 slachtoffers wereldwijd, volgens het Ministerie van Justitie, met totale eisen die waarschijnlijk in de honderden miljoenen liepen.
LockBit werd bekend door het gebruik van “drievoudige afpersing”, waarbij slachtoffers niet alleen werden bedreigd met versleutelde gegevens, maar ook met gestolen informatie en verlammende denial-of-service-aanvallen.
Autoriteiten slaan terug
De “Operation Cronos” taskforce van wetshandhavingsinstanties uit 10 landen was al maanden bezig met het afbreken van LockBit. Het keerpunt kwam met de inbeslagname van tientallen commando- en controleservers waarop LockBit vertrouwde om ransomware te verspreiden en zijn activiteiten te beheren. Autoriteiten hebben nu “de controle over de technische infrastructuur waarmee alle elementen van de LockBit-service kunnen werken”, aldus Europol.
Als gevolg hiervan zijn “meer dan 14.000 malafide accounts die verantwoordelijk zijn voor exfiltratie of infrastructuur geïdentificeerd en doorverwezen voor verwijdering”, aldus het agentschap.
Daarnaast hebben Franse en Amerikaanse functionarissen een groeiende lijst van vermeende LockBit leden gearresteerd of aangeklaagd. Polen arresteerde ransomware verdachte Ivan Kondratiev in oktober 2022, terwijl een andere Russische onderdaan werd gearresteerd in Oekraïne.
Er zijn drie internationale arrestatiebevelen uitgevaardigd in verband met het recente offensief. Franse autoriteiten zorgden ook voor vijf aanklachten. De autoriteiten hebben inmiddels cryptocurrency wallets bevroren die LockBit-leden zouden hebben gebruikt voor losgeldbetalingen.
“Dit onderstreept de toewijding om de economische drijfveren achter ransomware-aanvallen te verstoren”, aldus het Ministerie van Justitie.
Slachtoffers helpen herstellen
Deze oplossingen zijn ook gratis beschikbaar gesteld op het ‘No More Ransom’ portaal, beschikbaar in 37 talen. Tot nu toe hebben meer dan 6 miljoen slachtoffers over de hele wereld geprofiteerd van No More Ransom, dat meer dan 120 oplossingen bevat die meer dan 150 soorten ransomware kunnen ontsleutelen.
Monaco zei dat de operatie een grote tegenslag betekende voor een van de meest agressieve ransomware groepen, maar niet de laatste actie zou zijn tegen cybercriminelen.
“Ons onderzoek zal doorgaan en we blijven vastbesloten om alle leden van LockBit te identificeren en aan te klagen – van de ontwikkelaars en beheerders tot de aangesloten bedrijven,” zei Philip Sellinger, advocaat voor de VS. “We zullen ze in de schijnwerpers zetten als gezochte criminelen. Ze zullen zich niet langer in de schaduw verschuilen.”
