Europol deelt nieuwe details over arrestaties, decryptietool en oprollen LockBit

Het samenwerkingsverband van nationale en internationale politiediensten heeft meer bekendgemaakt over het aanpakken van de ransomwarebende LockBit. Zo is er een decryptietool ontwikkeld, zijn tientallen LockBit-servers offline gehaald en zijn enkele verdachten gearresteerd.

Op dinsdagochtend maakten de politiediensten al de eerste details van 'Operatie Cronos' openbaar, waarbij onder meer bleek dat de website van LockBit overgenomen was door de Britse National Crime Agency. Intussen hebben de samenwerkende politiediensten uit tien landen meer details prijsgegeven over de gecoördineerde politieactie.

Zo zijn er meer dan dertig servers van de ransomwarebende offline gehaald, waarvan de cybercrimeafdelingen van de Nederlandse politie Oost-Brabant en Zeeland-West-Brabant dertien servers offline hebben gehaald. Ook in Duitsland, Finland, Frankrijk, Zwitserland, de Verenigde Staten en het Verenigd Koninkrijk zijn servers van LockBit opgerold.

Verder heeft de Japanse nationale politie in samenwerking met Europol, de FBI en de NCA een decryptietool op NoMoreRansom gepubliceerd. Met de tool kunnen getroffenen systemen geïnfecteerd met LockBit-ransomware ontgrendelen. Op de gelinkte website staan volgens Europol 120 decryptietools voor 150 ransomwarevarianten, waar volgens de politieorganisatie zes miljoen mensen al door geholpen zijn. LockBit is volgens verschillende bronnen de meest gebruikte en doeltreffende gijzelsoftware.

Lockbit website 2Er zijn tot dusver twee arrestaties verricht. Dat gebeurde in Polen en Oekraïne; de verdachten zouden betrokken zijn bij de ransomwarebende. Op de voormalige website van de bende staat dat de FBI ook meerdere aanklachten heeft ingediend tegen affiliates die LockBit als softwareservicedienst afnamen om geld van slachtoffers te ontfutselen. LockBit verdiende veel geld met die ransomware-as-a-servicemodel. De politiediensten melden dat ruim 200 cryptovaluta-accounts in beslag zijn genomen.

De politiediensten stellen dat de infrastructuur van LockBit volledig is opgerold. Zowel de bende zelf als betrokkenen die de ransomware as-a-service afnamen, zouden hierdoor belemmerd worden. Er zou tijdens de actie veel aandacht zijn gegaan naar de 'exfiltratiekanalen', ofwel de manieren waarop de criminelen geld wisten te verdienen en wegsluizen.

Op vrijdag willen de diensten meer informatie openbaren over de financiën van de bende. Dan moet ook de identiteit van de leider van de bende bekendgemaakt worden. Tot dusver gaat deze persoon schuil onder de naam LockBitSupp.

Door Yannick Spinner

Redacteur

21-02-2024 • 11:22

38

Submitter: Ossebol

Lees meer

Reacties (38)

Sorteer op:

Weergave:

Nog wat missende informatie:
Ik probeerde net 2 decryptors te downloaden en zowel Lockbit 3.0 Ransom als LockFile ransom worden door Harmony (checkpoint) endpoint gezien als malicious. De Lockbit decryptor zelfs als trojan.

De manual geeft ook aan dat dit kan gebeuren omdat de bestanden niet digitaal ondertekend zijn.. https://www.nomoreransom....ker_for_LockBit_Guide.pdf

Ze raden dan aan om de antivirus tijdelijk uit te schakelen maar is dit de beste manier?
Iemand veiligere tips/tricks hieromtrent?
Wellicht even een (paar) uitzonderingsregel(s) maken in je beveiligingssoftware om ervoor te zorgen dat de bestanden/downloads wel worden toegestaan/doorgelaten?

[Reactie gewijzigd door ThanosReXXX op 22 juli 2024 15:44]

Ja sorry, maar zo leer je mensen nooit goed op te letten. Als je als overheidsinstantie een tool released zorg er dan ook voor dat die meldingen niet voorkomen ondanks dat het soms niet anders kan. Vermeld dan op zijn minst dat het kan voorkomen dat je AV afgaat.

Een AV hoor je te vertrouwen en niet te omzeilen ook al is het voor een techneut te snappen dat het soms niet anders kan. Maar merendeel zijn geen techneuten en die moet je juist niet gaan leren om rules voor applicaties toe te kennen.
Het is niet dat dit tools zijn die de overheid publiceerd ze delen de tools die Lockbit gebruikte om te recepten nadat je betaald had. Of verwacht je dat de overheid die eerst gaat her programmeren en officieel gaat registreren voordat ze dit doen?
Het was maar een suggestie, hè?

En natuurlijk heb je helemaal gelijk dat die tool in orde/geverifieerd moet zijn, maar voor nu is dat blijkbaar niet het geval, dus zal je het in ieder geval voor dit moment even anders op moeten lossen, wil je het downloaden.
Gewoon de overheden vertrouwen, die hebben nog nooit wat geflikt ;)

Maar ff serieus, terecht vraag.

[Reactie gewijzigd door WeetJeHetZeker op 22 juli 2024 15:44]

Is weer eens een grote actie! Laat weer goed zien hoe goed er internationaal samengewerkt kan worden, en daadwerkelijk wat bereikt kan worden. Lijkt me wel dat dit nog lang niet alle betrokkenen zijn, maar dit is alvast een begin. Ben benieuwd of getroffen bedrijven hier nog iets van gaan terugzien!

[Reactie gewijzigd door Deditio_ op 22 juli 2024 15:44]

Dit vind ik wel echt heel cool!
Vroeger was de beste uitkomst dat er ergens een ring leider werd opgepakt en als zondebok alles op zich moest nemen en dan had de overheidsinstantie het "opgelost". Hedendaags maken ze decryptietools en hebben ze mooie websites om allemaal ransomware encryptie ongedaan te maken, dat is echt service, het zal een hoop mensen helpen.
Het is mooi dat het "gereedschap" van de afpers bende kapot is gemaakt. Wel benieuwd of de makers/gebruikers van dit gereedschap voor de rechter komen. Vermoed dat anders de kans groot is dat ze nieuw gereedschap maken om hun lucratieve leventje voort te zetten.

Zoals een beroemde voetballer ooit iets zei over nadeel die zijn voordeel heeft, dan kan interpol over een paar jaar weer zeggen dat ze weer een afperssysteem uit de lucht hebben gehaald.
Hulde voor deze mooie actie en samenwerking!
Typisch de NL politie: nu kwispelen dat ze een fragment van de club hebben opgerold, hun opsporingsmethode uit enthousiasme op straat gooien, zodat andere criminelen er van kunnen leren.........de software is bij veel criminele beschikbaar en actief. Leuk dat ze de leverancier nu een tikje denken te geven, maar het probleem is verre van opgelost.
Waarom zo negatief? Dit lijkt toch echt een flinke verstoring van deze criminelen te zijn. Het gaat over een grote gecoordineerde actie van politie in verschillende landen, inclusief arrestaties. Ook blijkt politie te backend van Lockbit overgenomen te hebben.

Ik snap je zorg over andere criminelen, maar welke details over de opsporingsmethode zijn op straat gegooid?
Het is natuurlijk niet alleen een melding van de Nederlandse politie: het was een gecoördineerde actie, die nu ook wereldwijd bekend is gemaakt, en uiteraard is één van de doelen ervan om een afschrikkende/tegenhoudende werking te hebben.

Je zal hacken nooit volledig tegenhouden, en dus ook ransomware niet, want het is en blijft een kat en muis spel, maar als ze er zo dicht op blijven zitten, dan frustreer je de ontwikkeling/voortgang ervan wel, net zoals bijvoorbeeld bij het zogenaamd niet te kraken versleutelde telefoonverkeer van criminelen, waardoor dergelijk tuig steeds weer verder moet zoeken en opnieuw moet beginnen met andere methodes/oplossingen.

[Reactie gewijzigd door ThanosReXXX op 22 juli 2024 15:44]

Wat is het alternatief. Maar stoppen met opsporen dan?

Ben ook niet altijd blij met de aanpak van justitie, maar in dit geval lijkt er meer dan prima werk geleverd te zijn. Mogen ze ook eens de complimenten voor krijgen. Dus bij deze. Goed gedaan mannen.
Goed gedaan mannen.
Deden er geen vrouwen mee?
Ok. Omdat je het lief vraagt.

Goed gedaan mensen.
En wat nu als men zich niet identificeert als een wezen?
Wel erg bekrompen van je hoor.
Geen idee, maar dat is niet mijn probleem. Ik ben volgens vele "bang" omdat ik basisschool biologie heb gehad en mij afvraag wat de helft van de verzonnen dingen zijn op twitter die ik zie.
Ach, ik herinner me het gezeur rond Andre van Duin met Willempie nog. Heel correct Nederland zat te zeuren, maar juist de mensen die contact hadden met de mensen die hier belachelijk zouden worden gemaakt, vertelde dat die mensen het prachtig vonden.

We hebben het veel te goed. Als ik de tv aanzet komen er ook reclames met:"Voor uw vagina", die heb ik niet, maar ik ga ook niet gelijk zeuren dat ik mij achtergesteld voelt.

Kijk anders eens even naar dit stukje, Hansie maakt goede punten, leer ervan.
https://www.youtube.com/watch?v=mVPI0ukj2Jo
Als je mij een wezen noemt vind ik dat een belediging. Je bent hiermee intolerant. Hou dit soort taalgebruik aub op reddit ofzo. Mensen hier gaan beledigen met dit soort onzinnig gedrag zorgt alleen maar voor het uitsluiten van meer mensen, meer irritatie en meer haat. Kap er mee.
Volledig opgerold? Geloven ze dat zelf? Overmorgen is er weer een "nieuwe" met dezelfde methodes onder een andere naam, wees maar niet bang hoor.
De Lockbit 3.0 builder zal niet meer gebruikt kunnen worden. Hier is echter een decryptie tool tegen ontwikkeld. De ex-groepleden zullen zich mogelijk wel bij een andere groep kunnen aansluiten natuurlijk.
Andere masterkey, desnoods ander algoritme, andere naam en het gaat vrolijk verder. Tegen de tijd dat interpol ze weer in de smiezen heeft, zijn ze minstens een jaar verder. Lockbit was er sinds 2019 ofzo.
Er zullen altijd criminelen blijven, ransomware is niet zomaar op te lossen. Toch is dit weer een stap in de goede richting. Nu deze actie gedaan is, zullen de criminelen namelijk weer een paar stappen terug moeten zetten. Als ze doorgaan, moeten ze weer een stukje opnieuw beginnen en reputatie opbouwen.
Stronger nog, het is helemaal niet op te lossen, net zoals bijna alle criminaliteit. Dat is nu eenmaal inherent aan een samenleving. Strafrecht kende men ook in de tijd van de Romeinen, dacht ik. Da's pak hem beet 2500 jaar geleden begonnen.

Nieuwe aanwas wordt elke dag geboren. Je kan het hooguit een klein beetje in toom houden, wat men probeert. Niks mis mee. Maar het is hooguit evenwicht zoeken, het omschrijven als een stap in de goede richting is wellicht een brug te ver. Die stap vanuit de andere richting wordt net zo goed gezet nl.

Zie het als onkruid, als je niks doet wordt je tuin overwoekerd, als je wel wat doet is er een balans, maar terug komt het en soms immuun voor de reeds genomen maatregelen, waardoor de mogelijkheid tot overwoekering weer toeneemt. Daarom pleit ik ook voor behoedzaamheid met betrekking tot het nemen van maatregelen er tegen.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 15:44]

Daarom pleit ik ook voor behoedzaamheid met betrekking tot het nemen van maatregelen er tegen.
En hoe zie je dat dan precies? Moeten ze een bepaald percentage cybercriminelen vrij hun ding laten doen?
Helaas wel. Tenzij je wil dat we in een distopie eindigen. En dan weer overnieuw beginnen.

Maar dit schijnt de kringloop van het leven te zijn.

Kijk naar de jaren '80 en '90 met Bruinsma en Holleeder. Dat viel toen nog te behappen. Nu hebben we gewoon structureel executies op straat, waarbij niemand wordt ontzien. En het ziet er niet naar uit dat het beter gaat worden.
En denk je dat als als ze Holleeder vrij hadden laten doen dat de maffia dan vandaag bloemetjes ging staan uitdelen aan de schoolpoort?

Mij lijkt het eerder dat ze sowieso zouden doen waar ze het meeste geld mee kunnen verdienen
Nee, maar dan was het iig niet zoals nu. Dat is dan ook mijn punt.

Plus dat nieuwe wet- en regelgeving als mede effect heeft dat het iedereen raakt, al dan niet bewust.

Ik heb geen zin om in een politie staat te leben.
Het gaat over een gecoordineerde actie van politie in verschillende landen, inclusief arrestaties. Ook blijkt politie te backend van Lockbit overgenomen te hebben. Misschien niet 100% opgerold maar wel ernstig verstoord, Lockbit kan zo niet verder.

Zie ook https://www.europol.europ...gest-ransomware-operation
Voorlopig hebben ze deze opgerold en ik weet zeker dat zij dit zelf geloven en ik eigenlijk ook. Dat er morgen of overmorgen anderen klaarstaan om dit gat op te vullen, dat zal ongetwijfeld. Maar het oprollen van het volgende criminele netwerk hoeft lang niet zo lang op zich te laten wachten als deze keer, aangezien er binnen de organisaties die Lockbit hebben opgerold inmiddels al een infrastructuur bestaat.

Edit: woorden veranderd voor de leesbaarheid

[Reactie gewijzigd door Aldy op 22 juli 2024 15:44]

Hetgene jij niet of half vergeten bent is dat ze soms in het Russisch/op een Russisch forum gepost hadden.

Als er iemand iemand arresteert in Rusland om deze zaak neem ik aan dat we dat ergens zullen lezen. Maar Interpol zal het wsl niet doen nee

Op dit item kan niet meer gereageerd worden.