Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie

Een vermeende ontwikkelaar van de LockBit-ransomware is aangehouden bij een internationale politieactie, waarbij twaalf landen betrokken waren. In totaal werden vier personen gearresteerd en werden services die kritiek zijn voor de infrastructuur van LockBit in beslag genomen.

De vermeende ontwikkelaar werd op verzoek van de Franse autoriteiten aangehouden, schrijft Europol. De Britse autoriteiten hebben twee personen aangehouden die een LockBit-partner zouden ondersteunen. In Spanje werd een vermeende beheerder van een hostingdienst die de ransomwaregroepering gebruikt gearresteerd. In dat land werden ook negen servers in beslag genomen die onderdeel uitmaken van de LockBit-infrastructuur.

Verder hebben Australië, het Verenigd Koninkrijk en de Verenigde Staten sancties ingesteld tegen iemand die volgens de National Crime Agency onderdeel uitmaakte van LockBit. Diegene wordt ook aan Evil Corp gelinkt, wat opvallend is, omdat LockBit claimt dat de twee groepen niet samenwerken.

LockBit was tussen 2021 en 2023 de meest gebruikte ransomware wereldwijd, zegt Europol. De ransomware wordt gebruikt als ransomware-as-a-service, waarbij de kerngroep de ransomware beschikbaar stelt aan andere criminelen in ruil voor een deel van de inkomsten. Wel moeten de criminelen de ransomware zelf verspreiden.

De arrestaties en inbeslagnemingen zijn het resultaat van de derde fase van Operatie Cronos, waaraan twaalf landen deelnemen. Ook de Nederlandse politie is betrokken bij de operatie. Eerder dit jaar werd al een website van de bende in beslag genomen en werden ruim dertig servers offline gehaald. Ook zijn er eerder al diverse arrestaties verricht en is er een decryptietool op No More Ransom gepubliceerd, waarmee slachtoffers hun bestanden gratis kunnen ontsleutelen.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 02-10-2024 15:19
28 • submitter: wildhagen

02-10-2024 • 15:19

28

Submitter: wildhagen

Lees meer

Ransomwaregroepering LockBit is zelf slachtoffer van hack
Ransomwaregroepering LockBit is zelf slachtoffer van hack Nieuws van 8 mei 2025
Israël levert vermeende LockBit-ontwikkelaar uit aan Verenigde Staten
Israël levert vermeende LockBit-ontwikkelaar uit aan Verenigde Staten Nieuws van 15 maart 2025
Europol doet 25 arrestaties om verspreiden AI-gegenereerde kindermisbruikbeelden
Europol doet 25 arrestaties om verspreiden AI-gegenereerde kindermisbruikbeelden Nieuws van 28 februari 2025
RansomHub is grootste ransomwarebende sinds LockBit werd neergehaald
RansomHub is grootste ransomwarebende sinds LockBit werd neergehaald Nieuws van 14 februari 2025
Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen
Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen Nieuws van 24 december 2024
Europol, FBI en Nederlandse politie halen 27 ddos-platforms offline
Europol, FBI en Nederlandse politie halen 27 ddos-platforms offline Nieuws van 11 december 2024
'Grote ransomwarebende BianLian versleutelt geen data meer, steelt alleen nog'
'Grote ransomwarebende BianLian versleutelt geen data meer, steelt alleen nog' Nieuws van 22 november 2024
Zuid-Korea levert vermeende beheerder Phobos-ransomware uit aan VS
Zuid-Korea levert vermeende beheerder Phobos-ransomware uit aan VS Nieuws van 19 november 2024
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool Nieuws van 31 oktober 2024
Politiediensten delen meer details over ontmantelen Redline- en Meta-malware
Politiediensten delen meer details over ontmantelen Redline- en Meta-malware Nieuws van 29 oktober 2024
Cybercriminelen stalen mogelijk gegevens werknemers en patenten Casio
Cybercriminelen stalen mogelijk gegevens werknemers en patenten Casio Nieuws van 11 oktober 2024
Nederlandse overheid vernieuwt campagne 'Laat je niet interneppen'
Nederlandse overheid vernieuwt campagne 'Laat je niet interneppen' Nieuws van 9 oktober 2024
Ransomwaregroep lekt 53.900 documenten met medische informatie van Belgen
Ransomwaregroep lekt 53.900 documenten met medische informatie van Belgen Nieuws van 4 oktober 2024
'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record'
'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record' Nieuws van 16 augustus 2024
Microsoft: ransomware wordt verspreid via gerepareerde bug in ESXi-hypervisor
Microsoft: ransomware wordt verspreid via gerepareerde bug in ESXi-hypervisor Nieuws van 1 augustus 2024
Twee Russen bekennen betrokkenheid bij LockBit-ransomwaregroep
Twee Russen bekennen betrokkenheid bij LockBit-ransomwaregroep Nieuws van 19 juli 2024
Nederlandse politie brengt decryptietool uit voor slachtoffers DoNex-ransomware
Nederlandse politie brengt decryptietool uit voor slachtoffers DoNex-ransomware Nieuws van 8 juli 2024
'Ransomwaregroep die Indonesische overheid platlegde deelt decryptiesleutel'
'Ransomwaregroep die Indonesische overheid platlegde deelt decryptiesleutel' Nieuws van 4 juli 2024
FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware
FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware Nieuws van 6 juni 2024
Autoriteiten maken identiteit leider van LockBit-ransomewaregroep bekend
Autoriteiten maken identiteit leider van LockBit-ransomewaregroep bekend Nieuws van 7 mei 2024
Europol, NCA en FBI nemen website ransomwarebende Lockbit in beslag
Europol, NCA en FBI nemen website ransomwarebende Lockbit in beslag Nieuws van 20 februari 2024
Meer producten en artikelen
Politiek en recht Cybercrime Lockbit Politie Ransomware

Reacties (28)

-Moderatie-faq
28
24
12
1
0
10
Wijzig sortering
sapphire 2 oktober 2024 15:31
Ik was door allerlei berichtgeving afgelopen in de veronderstelling dat dit soort groepen/mensen vooral in landen als Rusland, etc zaten waar Westerse/EU landen geen verdragen mee hebben :?
CivLord @sapphire3 oktober 2024 12:59
Daar zitten ze wel lekker veilig inderdaad. Maar criminaliteit is niet beperkt tot die landen.
Jouw buurjongen kan net zo op geld belust, net zo goed kunnen programmeren en net zo crimineel ingesteld zijn. Hij zal weinig zin hebben om te emigreren naar Rusland enkel om buiten schot te blijven. (Hij zal zichzelf sowieso slimmer vinden dan de politie en denken nooit gepakt te kunnen worden.)

Maar ook Russen zijn kwetsbaar, wanneer ze zichzelf onkwetsbaar voelen en hun criminele geld willen laten rollen. Hoewel Rusland best en groot land is, waar je op veel verschillende plaatsen op veel verschillende manieren je geld kan laten rollen, voelt een vakantie in het buitenland toch veel luxer. Wanneer zo'n Rus denkt dat hij niet op de radar staat bij buitenlandse opsporingsdiensten kan het zijn dat hij op zijn vakantiebestemming, of onderweg op doorreis toch gepakt wordt omdat hij toch door dat land gezocht wordt of omdat dat land meewerkt aan een internationaal opsporingsbevel. Heel veel landen die hun eigen inwoners niet uitleveren zien er geen punt in om dat wel te doen met buitenlandse bezoekers.
wildhagen
@sapphire2 oktober 2024 15:38
Welnee. Een groot deel zal ongetwijfeld in dat soort landen zitten, maar criminelen van elke soort (cybercriminelen included) heb je in zo ongeveer élk land, wereldwijd.

Naast de in dit artikel al genoemde landen zijn eerder in de LockBit-affaire ook al Oekrainers en Polen opgepakt bijvoorbeeld, zie https://therecord.media/l...rrested-in-ukraine-poland

En zo zullen er nog wel meer aan LockBit geallieerde figuren in diverse landen rondlopen.
raro007 @sapphire2 oktober 2024 16:13
Als 5 van de 100 in Europa bevinden en de rest dus landen waar zij niks mee kunnen dan kan het idd lijken als of die organisatie in Europa bevind
themadone @sapphire3 oktober 2024 13:41
Zie ook dat er bijvoorbeeld een "sanctie" is opgelegd aan een persoon, daar konden ze dus niet bij maar zodra die persoon op een plek komt waar de opsporingsdiensten wel mogelijkheden hebben is het klaar.

Dat soort lui zitten dus in Rusland, NK, China etc. Die gaan die landen ook nooit verlaten omdat ze leven als god in Frankrijk en vaak ook opdrachten aanpakken vanuit de overheid. De lokale overheid laat ze dan met rust omdat die dankbaar gebruik maken van dezelfde "diensten".
CivLord @themadone4 oktober 2024 13:25
Leven als God in Frankrijk begint toch vaan te knellen wanneer je Frankrijk niet uit mag/ kan.

Zodra iets een beperking wordt, begint het te knellen, ook (of juist) wanneer je het anders nooit gedaan zou hebben.
Dat zag je ook tijdens corona. Mensen die voor corona nauwelijks de deur uitgingen en pubers die je voor corona geen groter plezier had kunnen doen door te zeggen dat ze de deur niet uit hoefden en de hele dag op hun telefoon/ PC/ spelcomputer mochten zitten kregen het plotseling erg benauwd toen ze de deur vrijwel niet meer uit mochten.

Wanneer je in je luxe villa woont, met een garage vol luxe auto's en op al je wensen bedient wordt, begint het wel heel erg te jeuken wanneer je weet dat je bankrekening het niet eens merkt wanneer je een maand de hoogste hotelkamer ter wereld afhuurt, maar dat je daar niet zo maar naar toe kan. En hetzelfde met ander jetset locaties en activiteiten. Je kan het je allemaal veroorloven, maar je kan er nit heen. Je tuinman kan n twee jaar sparen een week all-inclusive met zijn vrouw naar Turkije. Jij kan dat hele resort opkopen, maar je kan er niet heen. Dat begint te kriebelen, dat begint te jeuken en dat begint te knellen, ongeacht wat je allemaal in je eigen land kan doen.
Dan begin je te plannen hoe je dat toch kan doen. Welke maatregelen te moet treffen, welke route je moet nemen om de landen met een uitleveringsverdrag naar Westerse landen te ontwijken. Dat plannen valt ergens iemand van een inlichtingendienst op en wanneer je je plan uitvoert wordt je ergens op een achteraf vliegveld opgepakt, omdat de afwezigheid van een uitleveringsverdrag niet altijd betekent dat een vriendelijk uitleveringsverzoek niet wordt gehonoreerd. Of omdat dat land wel een uitleveringsverdrag heeft met een ander niet-westers land waar jij toevallig wat schade hebt aangericht op een kantoortje van een Westers bedrijf (waarna dat andere land je vervolgens weer uitlevert naar een Westers land).
themadone @CivLord4 oktober 2024 19:56
Mensen zat die nooit buiten hun eigen land komen en dat ook niet ambiëren natuurlijk.

Opgesloten zitten in Nederland vs een land waar je zowel in de zomer aan een strand kan liggen als in de winter gewoon skiresorts hebt is natuurlijk wel wat anders.

Rusland is groot.

[Reactie gewijzigd door themadone op 4 oktober 2024 19:56]

CivLord @themadone5 oktober 2024 09:23
Mensen zat die nooit buiten hun eigen land komen en dat ook niet ambiëren natuurlijk.
Klopt. Maar zodra je het ze verbiedt, of het om de één of andere reden onmogelijk wordt, wordt het een obsessie. Ook wanneer je alles dat je zou willen doen gewoon onder handbereik hebt.
themadone @Mushroomician3 oktober 2024 13:45
Denk eerder jij aan de Russische, het is in cyber security algemeen bekend dat er toch echt een hoop van dit soort zaken daar vandaan komen.

Kijk bijvoorbeeld eens hier: https://en.wikipedia.org/wiki/Fancy_Bear

En dat is maar 1 voorbeeld, er zijn er legio, dat afdoen als propaganda doet te kort aan alle security researchers die zich hiermee bezig houden en de resultaten van hun onderzoeken online presenteren.

Als ik mijn eigen firewalls bekijk is 80-90% van alle poortscans, probes en IPS flags toch echt afkomstig uit Rusland en China.
EGCnightstalker 2 oktober 2024 18:58
Mooie actie! Hopelijk zitten die gasten nog wel even vast en kunnen ze na server inname er wellicht nog wat gedupeerden mee helpen.
Drone_701 2 oktober 2024 16:04
Als ze nu zo een server offline halen op het moment dat je data nog vergrendeld is dan ben je toch helemaal verloren. Zonder die server ga je je data niet meer ontgrendeld krijgen. Tuurlijk is een back-up gebruiken om je systemen te herstellen veel beter dan betalen voor ontgrendeling maar ik hoop toch dat ze hier rekening mee houden vooraleer ze de stekker er uit trekken.
wildhagen
@Drone_7012 oktober 2024 16:08
Voor decrypten heb je toch hun servers niet per se nodig? Als je een decryptor hebt is dat vaak toch voldoende?

O.a. No More Ransom biedt decryptors ter download aan, inclusief eentje voor LockBit. Zie https://www.nomoreransom.org/en/decryption-tools.html

De How To Decrypt voor Lockbit is hier te lezen (in PDF-format): https://www.nomoreransom....ker_for_LockBit_Guide.pdf
jozuf @wildhagen2 oktober 2024 16:29
Ik weet hier bij lange na niet alles van, maar volgens mij als LockBit goed is opgezet hebben ze geen vaste keys om mee te encrypten, maar maken ze die on the fly aan als het proces start (en wordt de bijbehorende key doorgestuurd naar de servers van lockbit en blijft de key in memory tijdens encryptie proces en verdwijnt als het klaar is uit memory).
Volgens mij is hetgeen wat nomoreransom aanbiedt, gebaseert op ransomware die niet zo is opgezet (1, of een paar generieke keys die overal worden ingezet voor versleuteling). Dat is ook logisch, want anders kan nomoreransom ook niet echt werken, of iig wordt het allemaal veel lastiger.

Ik meen dat hetgeen nomoreransom aanbiedt voor Lockbit, voor oudere versies van lockbit zijn die niet "goed" waren opgezet (lees hergebruik keys bij verschillende "installs").

Dus dan heeft Drone_701 een punt. Nou is het dan wel zo dat ze de keys kunnen buitmaken van de servers bij in beslag name en ze opnemen in nomoreransom (tenminste als ze de opslag van die servers kunnen decrypten, er vanuit gaande dat de servers encrypted opslag inzetten). Het probleem met decrypten is dan wel dat je alle legio aan keys moet proberen, en hopen dat er 1 is die overeenkomt met jouw geencrypte rommel.
Maar kan er naast zitten hoor.

[Reactie gewijzigd door jozuf op 2 oktober 2024 16:33]

wildhagen
@jozuf2 oktober 2024 16:32
Ik weet hier bij lange na niet alles van, maar volgens mij als LockBit goed is opgezet hebben ze geen vaste keys om mee te encrypten, maar maken ze die on the fly aan als het proces start (en wordt de bijbehorende key doorgestuurd naar de servers van lockbit).
Klopt, maar veel van die keys zijn dus in handen gekomen van law enforcement, zoals de politie, wat ook in de door mij gelinkte PDF staat:
This script checks your unique decryption ID against a list of known decryption keys that have been
recovered by law enforcement agencies. If a match is found, it indicates that a decryption key is
available for your case, and you will be guided on how to proceed
Ik meen dat hetgeen nomoreransom aanbiedt voor Lockbit, voor oudere versies van lockbit zijn die niet " goed" waren opgezet (lees hergebruik keys bij verschillende "installs").
De decryptor voor LockBit die No More Ransom aanbiedt is voor LockBit 3.0:
The purpose of this tool is to assess if there might be a chance of recovering a certain number of files that had been encrypted with the LockBit 3.0 ransomware. The chances of decryptability depend on a number of factors and cannot be predicted without access to Lockbit-encrypted files.
Zover mij bekend is LockBit 3.0 juist de meest recente versie, "op de markt" sinds juni 2022. Dus juist niet een oudere versie.
Stijnvi @Drone_7012 oktober 2024 16:28
Die servers zijn er alleen om de malware (en uiteindelijk de unlock keys) te verspreiden en de gestolen data op te slaan. De geëncrypte bestanden blijven gewoon op de originele systemen staan, alleen achter een slotje. Zeg maar net zoals dat je een PDF kan vergrendelen met een wachtwoord. Het bestand bestaat nog, alleen kom je er niet in zonder wachtwoord/decryptor.
Gepetto 2 oktober 2024 16:34
....werden services die kritiek zijn voor de infrastructuur van LockBit in beslag genomen.
Services in beslag genomen? :? Bedoel je niet, servers?

[Reactie gewijzigd door Gepetto op 3 oktober 2024 06:25]

dannyvdmoo 2 oktober 2024 19:47
goede zaak
CivLord @svideo3 oktober 2024 13:07
Je hebt zelf de keuze om een OS te nemen zonder bitlocker.
Da_Plague @svideo2 oktober 2024 16:13
Bedoel je microsoft?

BitLocker is een Windows-beveiligingsfunctie waarmee uw gegevens worden beschermd door uw stations te versleutelen. Deze versleuteling zorgt ervoor dat als iemand offline toegang probeert te krijgen tot een schijf, deze geen inhoud kan lezen. BitLocker is met name waardevol als uw apparaat verloren of gestolen is, omdat uw gevoelige informatie hierdoor veilig blijft.

Niet te verwarren met Lockbit...
Gepetto @svideo2 oktober 2024 16:36
Totdat je laptop een keer wordt gestolen en de dief je volledige harddisk uit kan lezen.
CivLord @svideo3 oktober 2024 13:06
Op je harddisks staan waarschijnlijk aardig wat persoonlijke gegevens waar criminelen misbruik van kunnen maken. Brieven/ emails/ scans van paspoorten etc.
Waarschijnlijk ook de nodige cookies/ wachtwoorden waarmee op tal van internetdiensten ingelogd kan worden.
Dracoz @svideo2 oktober 2024 18:50
Dit roeptoetert iedereen heel gemakkelijk dat er helemaal geen belangrijke data op staat.
Bied maar aan via een we-transfer link oid, sneup ik er wel ff doorheen praten we dan weer verder.
EGCnightstalker @svideo2 oktober 2024 18:54
Je kunt BitLocker uitzetten, mocht het al standaard aanstaan.

Overigens...

Ik snap al een tijdje niet dat criminelen zoveel moeite doen om via een digitale weg mensen geld afhandig te maken d.m.v whatsapp fraude, phishing, social engineering etc.

Terwijl je bij sommige mensen alleen maar een raampje hoeft in te tikken, usb stick erin, pc aan, even wachten tot de RAT deployed is, pc uit en weer pleite.

/sarcasm
Gepetto @svideo3 oktober 2024 06:27
Iedereen heeft op zijn PC wel iets staan waarvan hij niet wil dat anderen het zien. Persoonlijke gegevens, bankgegevens, medische gegevens.... je hoeft niet meteen een crimineel te zijn om zaken privé te willen houden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq