FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware

De Amerikaanse Federal Bureau of Investigation heeft naar eigen zeggen ruim 7000 decryptiesleutels voor de LockBit-ransomware in bezit. Daarmee kan de organisatie slachtoffers helpen om hun data terug te krijgen. De LockBit-ransomwaregroep werd in februari opgerold.

De LockBit-ransomwaregroep versleutelde niet alleen data, maar stal de gegevens ook. Vervolgens werd losgeld gevraagd om de toegang tot data te herstellen. "Maar ze houden ook een kopie van alle data en soms eisen ze een tweede betaling om te voorkomen dat ze je persoonlijke of bedrijfsinformatie online publiceren", vertelt Bryan Vorndran van de FBI tijdens een conferentie in de VS over cybersecurity.

Sinds 2019 wordt de gebruikte ransomware ook aan anderen verhuurd; dit heet ransomware-as-a-service. In 2022 werd LockBit de meest gebruikte ransomwarevariant ter wereld. Volgens Vorndran is de groep verantwoordelijk voor maar liefst 2400 aanvallen wereldwijd, waarvan ruim 1800 in de VS plaatsvonden. De totale schade komt uit op miljarden dollars.

Afgelopen februari namen internationale politiediensten de website van LockBit in beslag. Aan de zogenaamde 'operatie cronos' werkte onder meer de Nederlandse politie mee, evenals de FBI. Ook werden ruim dertig servers offline gehaald en werden diverse arrestaties verricht en werd een decryptietool op NoMoreRansom gepubliceerd.

Politieorganisaties uit de VS, het Verenigd Koninkrijk en Australië maakten in mei de identiteit van de leider van de ransomwarebende bekend. De Russische man heeft een reisverbod gekregen en zijn banktegoed is bevroren. De Amerikaanse autoriteiten loven 10 miljoen dollar uit voor informatie die kan leiden tot de arrestatie of veroordeling van de man.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 06-06-2024 10:49
30 • submitter: wildhagen

06-06-2024 • 10:49

30

Submitter: wildhagen

Lees meer

Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie Nieuws van 2 oktober 2024
Microsoft: zorginstellingen VS getroffen door aanvallen met INC-ransomware
Microsoft: zorginstellingen VS getroffen door aanvallen met INC-ransomware Nieuws van 19 september 2024
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline Nieuws van 13 augustus 2024
'Ransomwaregroep die Indonesische overheid platlegde deelt decryptiesleutel'
'Ransomwaregroep die Indonesische overheid platlegde deelt decryptiesleutel' Nieuws van 4 juli 2024
Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie
Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie Nieuws van 21 juni 2024
Autoriteiten maken identiteit leider van LockBit-ransomewaregroep bekend
Autoriteiten maken identiteit leider van LockBit-ransomewaregroep bekend Nieuws van 7 mei 2024
Securitybedrijf: significant minder ransomwareslachtoffers betalen losgeld
Securitybedrijf: significant minder ransomwareslachtoffers betalen losgeld Nieuws van 22 april 2024
Gerucht: FBI neemt website BlackCat-ransomware in beslag
Gerucht: FBI neemt website BlackCat-ransomware in beslag Nieuws van 5 maart 2024
Europol deelt nieuwe details over arrestaties, decryptietool en oprollen LockBit
Europol deelt nieuwe details over arrestaties, decryptietool en oprollen LockBit Nieuws van 21 februari 2024
Europol, NCA en FBI nemen website ransomwarebende Lockbit in beslag
Europol, NCA en FBI nemen website ransomwarebende Lockbit in beslag Nieuws van 20 februari 2024
Meer producten en artikelen
Beveiliging en antivirus FBI Lockbit Ransomware

Reacties (30)

-Moderatie-faq
30
29
11
0
0
13
Wijzig sortering
dehardstyler 6 juni 2024 10:57
De Lockbit-ransomwaregroep werd in februari opgerold.
Mwa opgerold? De nieuwe website draait bijvoorbeeld alweer een tijdje. En de leider heeft nog een geldbedrag op zijn hoofd, dus volgens mij gaat het nog gewoon door toch?
Orangelights23 @dehardstyler6 juni 2024 11:05
Ze zijn ook gewoon nog actief. Ik weet niet waaron de auteur denkt dat ze opgerold zijn: hun bezoekerswebsite en een paar servers werden offline gehaald, maar de rest draait gewoon nog/weer.
Lagonas @Orangelights236 juni 2024 11:36
Let op dat een ransomware groep zoals vroeger heel anders is als nu. Tegenwoordig is een ransomware groep meer een soort uitzendbureau die taken uitzet / werk uitvoert voor een andere groep.

Hoewel de leider van de Lockbit groep wellicht hetzelfde is, zijn de mensen die onder hem werken vaak verschillende andere groepen en varieren erg vaak.

Groep voert een ransomware aanval uit > Lockbit doet de public relations / de afpersing voor betaling > Lockbit beloofd ransomwaregroep te betalen.
Audione0 @Lagonas6 juni 2024 11:51
Gewoon the Beekeeper erop af sturen, problem solved 8-)
Cergorach
@Audione06 juni 2024 14:23
Beekeeper:
https://cdn.webshopapp.co...files/365244222/image.jpg
Wablief!?!? }:O :Y)
Audione0 @Cergorach6 juni 2024 14:29
YouTube: THE BEEKEEPER | Official Restricted Trailer
ViPER_DMRT @Audione06 juni 2024 15:25
The cringe is real ;)
Orangelights23 @Lagonas6 juni 2024 12:32
Sterker nog, ransomwaregroepen zijn professionele organisaties die grote bonussen uitkeren aan hun ‘medewerkers’ bij grote omzetten, medewerkers van de maand verkiezen, enzovoorts. Het zijn in die hoedanigheid geen andere bedrijven qua opzet dan ‘reguliere’ bedrijven.
rable @Lagonas6 juni 2024 15:34
De 'specialisering' gaat erg ver. Vaak zijn er verschillende groepen die onafhankelijk van elkaar de verschillende stappen uitvoeren en hun diensten aan elkaar verhandelen:
- Ransomware maken
- Servers opsporen die infecteerbaar zijn met zerodays
- Social engineering om toegang te krijgen tot servers
- Servers infecteren
- Bedrijven die geinfecteerd zijn afpersen
WillySis @dehardstyler6 juni 2024 11:22
Ik zou niet durven te stellen dat de originele groep nog actief is. De Lockbit software wordt nu verhuurd.
Verhuren is veel minder werk, je hoeft de buit ook niet met anderen te delen en je blijft zelf buiten schot.
wildhagen
6 juni 2024 10:57
De Lockbit-ransomwaregroep versleutelde niet alleen data, maar stal de gegevens ook. Vervolgens werd losgeld gevraagd om de toegang tot data te herstellen. "Maar ze houden ook een kopie van alle data en soms eisen ze een tweede betaling om te voorkomen dat ze je persoonlijke of bedrijfsinformatie online publiceren", vertelt Bryan Vorndran van de FBI tijdens een conferentie in de VS over cybersecurity.
Klopt, dat heet dus "Double Extortion". Eerst losgeld betalen voor het decrypten, en daarna nog een extra losgeld om te voorkomen dat de data publiek gemaakt werd.

En Lockbit deed soms ook aan 'Triple Extortion", met name als het losgeld niet (of niet snel genoeg) werd betaald ging men over tot DDoS-attacks om nog een derde keer losgeld te eisen en het slachtoffer te motiveren om te betalen.

Zie bijvoorbeeld LockBit ransomware gang gets aggressive with triple-extortion tactic

Zover ik me kan herinneren was Lockbit ook de (zover bekend) enige organisatie die overging tot een "Trple Extortion", dus met 3x losgeld per aanval, in ieder geval tot nu toe.

[Reactie gewijzigd door wildhagen op 22 juli 2024 17:41]

Jeldert @wildhagen6 juni 2024 11:10
Dus gewoon niet betalen, wachten tot je data publiek gemaakt is.
Dan heb je én niet betaald, én je data terug :+
.oisyn Moderator Devschuur® @Jeldert6 juni 2024 12:37
"It's not a data breach, it's a surprise backup" ;)
ManIkWeet @Jeldert6 juni 2024 12:37
Ze publiceren dan alleen de gevoelige data, niet alle andere saaie troep natuurlijk
laurens0619 @wildhagen6 juni 2024 12:01
Hackergroepen zijn steeds meer aan het bewegen naar "pure extortion" (of encryption less ransomware). Dat is eigenlijk Double Extortion maar dus zonder de eerste encryptiestap :)

Voor kritische infrastructuur heeft Lockbit 3.0 ook beschreven dat het verboden is encryption toe te passen, alleen pure extortion is daar toegestaan.

Het Verizon rapport laat deze trend ook zien, ik verwacht ook dat deze doorzet:
Roughly one-third of all breaches involved Ransomware or some other Extortion technique. Pure Extortion attacks have risen over the past year and are now a component of 9% of all breaches. The shift of traditional ransomware actors toward these newer techniques resulted in a bit of a decline in Ransomware to 23%.
kodak
@laurens06196 juni 2024 12:48
Het probleem is dat heel veel gestolen gegevens te verhandelen zijn zonder dat de herkomst te herkennen is of bekend zal worden. Dat weten die criminelen al jaren. Dat niemand na betaling de 'eigen' gegevens bij criminele handel herkend heeft nooit de betekenis gehad dat criminelen het niet verhandelen. En betrouwbaar waren criminelen al nooit op basis van hoop of geloof. Dus dat ze nu minder inspelen op betrouwbaar zijn en via meer pogingen proberen af te persen is eerder het duidelijker worden dat ze het vooral aan het verergeren zijn wat de slachtoffers ervaren.
wildhagen
@GarBaGe6 juni 2024 11:05
En dus is het niet nutteloos, want ook al worden die keys maar één keer gebruikt, kan je die dus nog altijd gebruiken om de data van de betreffende organisatie/bedrijf te decrypten.

Dat andere bedrijven aan die specifieke key niets hebben maakt het voor die specifieke organisatie die er wél iets aan heeft dus niet nutteloos. Verre van zelfs, zij krijgen er hun data weer mee terug.
MazDaMan1970 @wildhagen6 juni 2024 11:41
Verre van zelfs, zij krijgen er hun data weer mee terug.
Die moet je gewoon terug kunnen halen, via een restore. En bedrijven die dit niet kunnen restoren moeten zich toch eens flink achter de oren krabben & hun security-beleid gaan herzien & voldoende budget vrijmaken, om dit ASAP te fixen!
Groningerkoek @MazDaMan19706 juni 2024 12:17
Ah, het in elk topic over dit onderwerp terugkerende van totaal gebrek aan kennis betreffende het onderwerp blijk gevende: "Het is allemaal hun eigen schuld"
MazDaMan1970 @Groningerkoek7 juni 2024 08:51
Als een bedrijf zijn backups niet op orde heeft, dan is het inderdaad hun eigen schuld dat ze data kwijt zijn, aangezien dat ook gebeurd zou zijn, als het door andere omstandigheden veroorzaakt zou worden, zoals brand, oid.
nextware @MazDaMan19706 juni 2024 13:10
Je vergeet in dit verhaal dat in dergelijke aanvallen ook de backup vaak wordt meegenomen. Tijdens de encryptie zie je heel vaak dat de backups ook encrypted worden.
Dat is op te vangen door (oa) immutable backups te maken maar vaak vereist dat ook een investering.

Eerste stap ter preventie is user awareness. Je kunt alle maatregelen treffen maar vaak is de user (of admin) het toegangspunt die dergelijke aanvallen mogelijk maakt.
manzonderdas @GarBaGe6 juni 2024 11:01
ik weet het niet; ik vraag me af hoeveel tijd het zou kosten om die 7000 als brute force in een decryptor te gieten en dan te runnen?
marsian @GarBaGe6 juni 2024 11:03
Vermoedelijk horen de 7000 sleutels bij uitgevoerde aanvallen. Als je data versleuteld is kan je er zomaar voordeel bij hebben dus
DigitalExorcist @marsian6 juni 2024 11:06
Yep. Die sleutels zijn gewoon prima bruikbaar. Lullig voor Lockbit maar die maken wel meer domme fouten..
dwizzy @marsian7 juni 2024 11:22
ik ben heel benieuwd of die sleutels een identifier hebben, en wat de FBI zelf erover weet. Zou toch mooi zijn als ze die sleutels openbaren, kan elk slachtoffer zelf proberen of één van de sleutels bij hun past? Zelfs als een bedrijf in het verleden ten prooi is gevallen, ze hebben gekozen niet te betalen, zouden ze oude gegevens nog kunnen herstellen.
Lagonas @GarBaGe6 juni 2024 12:11
Als de sleutels ter plekke worden gemaakt dan zijn deze 7000 sleutels dus ergens voor gemaakt, en bij dus bij definitie niet onbruikbaar. Wellicht zijn een deel test encrypties, zijn ze nu niet meer ergens goed voor, of wellicht zijn sommige zeker nog wel goed. Om bij voorbaat maar te zeggen "gooi maar weg" is denk ik de meest vreemde actie in welk scenario dan ook.

[Reactie gewijzigd door Lagonas op 22 juli 2024 17:41]

P_Tingen @GarBaGe6 juni 2024 12:51
Snap niet helemaal waarom je -1 krijgt want je hebt ten dele wel degelijk een punt. Als die boeven een klein beetje slim zijn dan gebruiken ze een unieke sleutel voor elk slachtoffer. Met deze 7000 sleutels kunnen dus - als mijn aanname klopt - maximaal 7000 mensen geholpen worden.

Hoewel beter dan niks, is er waarschijnlijk een veelvoud aan slachtoffers die hier niet mee geholpen is
Lagonas @P_Tingen6 juni 2024 13:26
En dan is "Gooi maar weg die sleutels" een valide advies? Volgens het artikel is er niet een veelvoud aan slachtoffers, maar nog niet eens de helft.
Volgens Vorndran is de groep verantwoordelijk voor maar liefst 2400 aanvallen wereldwijd
Hij zegt namelijk eigenlijk maar 1 ding. je hebt absoluut niks aan de sleutels, gooi op voorhand maar weg. Ik zie het punt niet helemaal.

[Reactie gewijzigd door Lagonas op 22 juli 2024 17:41]

P_Tingen @Lagonas6 juni 2024 14:26
Score 0 was beter geweest, -1 is voor flamebaits, trolls, misplaatste grappen, en onnodig kwetsende reacties

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq