De hackers gehackt: zo verliep de opmerkelijke operatie tegen hackerscollectief LockBit
Een internationale politieoperatie heeft afgelopen week een van de schadelijkste hackersgroepen ter wereld ontmanteld, LockBit. Een opmerkelijk onderzoek want de politie hackte namelijk zelf de website van de criminelen en zette hen daarop te kijk. Zo ging dat in zijn werk.
Elke week duikt onze podcast "Het uur van de waarheid" in de wereld van online bedrog, desinformatie en misleiding. Ook dit onderwerp komt uit de podcast. Alle afleveringen vind je hier.
Opvallend nieuws deze week. Een samenwerking tussen verschillende landen, geleid door het Britse antimisdaadagentschap NCA, leidde tot een grote doorbraak in de cybercriminaliteit. "LockBit was op 'elk niveau' verstoord", klonk het dinsdag. De operatie – die meerdere maanden duurde - kreeg de codenaam "Operation Cronos".
De politiediensten rolden niet enkel de website van de hackers op: ook de infrastructuur waarmee de hackers de bedrijven en particulieren afpersten, werd overgenomen. In dat proces werden ook 34 servers in Nederland, Duitsland, Finland, Frankrijk, Zwitserland, Australië, de VS en het VK uitgeschakeld.
Dat is goed nieuws, zegt VRT NWS-journalist en expert digitale media Tim Verheyden in de VRT NWS-podcast "Het uur van de waarheid". "Het is een sterk signaal dat de politie deze hackers kan vatten en hun systeem kan platleggen."
Opvallende overname
De manier waarop de speurders de overname van de website - die enkel raadpleegbaar is via het darkweb - aan het publiek kenbaar maakten, was opmerkelijk. Op 19 februari plaatste “Operation Cronos” een bericht op de site met de volgende tekst in het Engels:
"Deze site staat nu onder controle van de National Crime Agency (NCA) van het Verenigd Koninkrijk, die nauw samenwerkt met de FBI en de internationale taskforce voor wetshandhaving, “Operation Cronos”.
Vanaf 20 februari postten de speurders details over de operatie. Dat deden ze door de inhoud van de hackerswebsite - die voordien werd gebruikt om gestolen gegevens van slachtoffers te hosten – te vervangen door allerlei informatie.
Zo krijgen we niet enkel een uiteenzetting over de activiteiten en mogelijkheden van LockBit te zien, maar ook sleutels om gegijzelde software te openen, nieuws over arrestaties en een beloning in geld voor wie informatie heeft over “LockBitSupp”, de vermeende leider van de bende.
"De politie had een gaatje gevonden in de veiligheid van de website", aldus Tim Verheyden. "Vervolgens zijn ze als het ware zelf beginnen trollen en doxen (het publiceren van persoonsgegevens van een individu of organisatie, red.). Ze benaderden de operatie dus met een serieuze, vette knipoog."
De speurders plaatsten zelfs een aftelklok op de website. Vrijdagmiddag zou de identiteit van de leider van de hackers bekend worden gemaakt. Maar eens het zover was, kregen nieuwsgierigen slechts het onderstaande scherm te zien.
Niet veel meer informatie dus. Het bericht doet vermoeden dat de leider in gesprek is met de autoriteiten, waardoor zijn naam niet kan worden vrijgegeven. Waar de leider al dan niet is, vernemen we niet. Volgens een expert die RTL Nieuws opvoerde, wil de FBI met deze actie vooral de reputatie van de vermeende leider beschadigen.
Wat is het resultaat van de operatie?
“Operation Cronos” slaagde erin om de tool waarmee LockBit data stal, de zogenoemde Stealbit-tool, in beslag te nemen. In samenwerking met Europol werden verschillende arrestaties verricht en werden 200 cryptomuntrekeningen die aan de hackers werden gelinkt, bevroren. Bovendien verkregen de partners meer dan 1.000 decryptiesleutels waarmee slachtoffers mogelijk hun gegevens kunnen herstellen.
Zijn we voortaan dan van deze hackers af? NCA: "Ons werk stopt hier niet. LockBit kan proberen om hun criminele onderneming weer op te bouwen. We weten echter wie ze zijn en hoe ze te werk gaan."
Tim Verheyden: "Of dit een gamechanger wordt, blijft de vraag. Het is goed nieuws dat dit gebeurt. Maar soms zien we natuurlijk wel dat die hackers later opnieuw elders opduiken. Het resultaat valt dus nog af te wachten."
Uitbesteden van aanvallen
LockBit dook eind 2019 voor het eerst op. Ze groeiden snel uit tot een van de schadelijkste hackersgroepen ter wereld. Tijdens de jaren dat de criminele groep actief was, zouden miljarden euro's buitgemaakt zijn. In België is bekend dat de stad Geraardsbergen in september 2022 het slachtoffer werd. De hackers publiceerden privacygevoelige gegevens nadat de stad had geweigerd te betalen.
De groep volgt het “ransomware-as-a-service”-model. Dat betekent dat een kernteam de malware maakt en de website beheert, maar het besteedt de selectie van doelwitten en aanvallen uit aan een netwerk van semionafhankelijke "filialen". Die krijgen de tools en infrastructuur en in ruil geven zij een commissie op het losgeld.
De vraag is wat met de mensen rondom het LockBit-netwerk zal gebeuren.
"De vraag is wat met deze mensen zal gebeuren", zegt Verheyden. "Deze mensen zwerven nog ergens rond. De politie kan er wel zicht op krijgen, maar je mag ervan uitgaan dat nog steeds mensen met de tools aan de slag zullen gaan."
De Japanse nationale politie publiceerde in samenwerking met Europol, de FBI en de NCA een decryptietool op NoMoreRansom. Met die tool kunnen slachtoffers hun systemen die geïnfecteerd zijn met LockBit-ransomware, ontgrendelen. Op de website staan volgens Europol zo’n 120 decryptietools voor 150 varianten van ransomeware. Naar schatting werden met de tool al zo’n zes miljoen mensen geholpen.