Ransomwaregroepering LockBit is zelf slachtoffer van hack

De ransomwaregroepering LockBit is zelf het slachtoffer geworden van een cyberaanval. De darkwebinfrastructuur van de groepering is voorzien van een bericht van de aanvallers, waarin gelinkt wordt naar een gelekte database van LockBit.

Op de beheerderspanelen van leden van de ransomwaregroep staat nu het bericht 'Doe geen misdaad. MISDAAD IS SLECHT. xoxo vanuit Praag', schrijft Cyber Security News. Daarbij staat ook een link naar een MySQL-databasedump, met daarin onder meer 4442 onderhandelingsberichten tussen LockBit en zijn slachtoffers. De berichten komen uit de periode tussen december en eind april.

Verder bevat het datalek een tabel met plaintextwachtwoorden van 75 beheerders en partners. In de database staan tot slot 60.000 unieke adressen van Bitcoin-wallets die gebruikt worden voor losgeldbetalingen en details over op maat gemaakte ransomware voor specifieke aanvallen.

Volgens beveiligingsexperts is het lek authentiek. Alon Gal, medeoprichter en cto van Hudson Rock, noemt het datalek op LinkedIn 'een goudmijn' voor de politie, aangezien de gelekte data kunnen helpen bij het volgen van betalingen. Verder kunnen de gegevens gebruikt worden om te bevestigen dat aanvallen door LockBit zijn uitgevoerd.

LockBit heeft het datalek bevestigd in een bericht op zijn eigen leakwebsite. Daarbij zegt de ransomwaregroep dat er geen decryptietools gestolen zijn en gestolen bedrijfsgegevens niet zijn aangetast. De groep zegt verder te willen betalen voor informatie over de hackers die verantwoordelijk zijn voor deze aanval.

LockBit is een ransomwarebende die naar verluidt in Rusland is ontstaan en duizenden ransomwareaanvallen heeft uitgevoerd. Vorig jaar namen internationale politiediensten de website van LockBit in beslag als onderdeel van Operatie Cronos. Daarbij werden 34 servers, 1000 decryptiesleutels en een partnerpaneel in beslag genomen. Onder meer de Nederlandse politie droeg bij aan deze actie. Niet lang na Operatie Cronos kwam LockBit weer online met een nieuwe website.

Reacties (62)

r.e.s 8 mei 2025 09:34

Zou dit ook interessant voor de Autoriteit Persoonsgegevens kunnen zijn? Om te zien of er organisaties zijn in NL die geen melding hebben gemaakt van een datalek maar wel losgeld betaald hebben na een ransomware aanval.

bantoo @r.e.s • 8 mei 2025 09:36

Volgens mij heeft het AP nog geen budget voor de koffie, laat staan om ransomware bendes aan te vallen ;p

Byron010 @bantoo • 8 mei 2025 09:52

Ik denk meer dat hij de gedumpte informatie bedoeld, niet dat ze zelf verantwoordelijk zijn voor de aanval

Holzschuh @Byron010 • 8 mei 2025 10:00

Ik lees eerder in het bericht van @bantoo dat AP geen geld en capaciteit heeft om wie dan ook effectief aan te pakken.

Byron010 @Holzschuh • 8 mei 2025 10:28

laat staan om ransomware bendes aan te vallen

Zijn bericht heeft het toch echt over het aanvallen zelf, verder kan het punt van budget natuurlijk ook toepasselijk zijn op het verwerken van de data, maar dat is niet wat er er stond.

kdekker @bantoo • 8 mei 2025 10:08

Nu is 49 miljoen wel hele dure koffie: nieuws: Autoriteit Persoonsgegevens krijgt opnieuw niet budget waar zij om vr...

Theike76 @bantoo • 8 mei 2025 11:24

Koffie is ook wel erg duur geworden sinds Schoof 1.0

TIGER79 @Theike76 • 8 mei 2025 17:05

Niet dat de koffie of chocoladeprijs daadwerkelijk iets te maken heeft met de premier...

vrijmark @bantoo • 9 mei 2025 12:04

Deze slag kan je nooit winnen als je geen enorm budget ter beschikking hebt , je zal eeuwig achter blijven lopen

Triblade_8472 @r.e.s • 8 mei 2025 09:56

Als er daar iemand bij stilstaat dat dit een optie is èn de data kan verkrijgen èn interpreteren: ja.

Wel een goeie inderdaad, hopelijk komt jouw post daar onder iemand's ogen.

svennd @r.e.s • 8 mei 2025 10:35

Er is maar 1 NL bedrijf volgens de lockbit GPT. Die zou het zeker gemeld moeten hebben (NIS).

witstert @r.e.s • 8 mei 2025 22:44

Poetic Justice.
Regarding the DDP, perhaps Organisation(s) that have been hacked, not reported the hack(s) to the DDP AND paid the ransom(s) can be considered to have aided and abetted the hackers after the fact. Thus the penalty can be the ransom(s) paid plus the same amount to the DDP, boosting its finances, plus compensation to the full for third parties losses as a consequence(s) of the hack(s).

Coolstart 8 mei 2025 10:22

Volgens beveiligingsexperts is het lek authentiek. Alon Gal, medeoprichter en cto van Hudson Rock, noemt het datalek op LinkedIn 'een goudmijn' voor de politie.

De vraag is wie is de politie? Europa bestaat uit tientallen en honderden politie-eenheden. Zolang die niet samenwerken als 1 hypergespecialiseerd cyber team met 1 budget zullen de hackers winnen.

Is de data ook ergens beschikbaar?

wildhagen

Beveiliging en antivirus
Ransomware
Datalek

@Coolstart • 8 mei 2025 10:42

[...]

De vraag is wie is de politie? Europa bestaat uit tientallen en honderden politie-eenheden. Zolang die niet samenwerken als 1 hypergespecialiseerd cyber team met 1 budget zullen de hackers winnen.

In de praktijk wordt al heel veel samengewerkt door de politiediensten, in het kader van Europol (European Union Agency for Law Enforcement Cooperation, in Den Haag) binnen Europa, en wereldwijd heb je Interpol (International Criminal Police Organization, in Lyon).

Ook buiten die formele samenwerkingsverbanden werken de diverse politiediensten van individuele landen al vaak onderling samen.

Dat zie je al bij het neerhalen van (digitale) criminele netwerken, waar vaak meerdere landen (en/of Europol/Interpol dus) bij betrokken zijn.

Coolstart @wildhagen • 8 mei 2025 12:44

Ja die diensten bestaan uit 99% coordinatoren om landen te verenigen slecht een klein focust on cyber security. Beel wordt uitbesteed, veel zaken zijn versnippert.

Wat ik bedoel is een echte force van duizenden mensen die echt veldwerk verrichten, code schrijven en zich hyperspecialiseren.

Elk jaar gaan er miljarden naar cybercriminelen, en onze persoongegevens vliegen de deur uit alsof het niets is.

De gezamenlijke acties zijn in de praktijk een druppel op een hete plaat.

DigitalExorcist @Coolstart • 8 mei 2025 11:06

Europol of Interpol. En daarnaast doen we als Nederlandse politie best goeie zaken op cybergebied met buitenlandse politiediensten..

Kimbo72 @Coolstart • 8 mei 2025 18:41

Interpol is 1 politie.

AW_Bos

8 mei 2025 09:36

Toch wel aardig dat de hackers nog een virtueel kusje en een omhelzing geven XOXO

Maar plaintext wachtwoorden.....

En dat van een hackersgroepering. Dan leef je echt nog bij wijze van spreken in 1998.

Laat me raden: welcome123?

[Reactie gewijzigd door AW_Bos op 8 mei 2025 09:39]

litebyte @AW_Bos • 8 mei 2025 09:47

Het is een semi staatsbedrijf met kantoren en vakantiegeldregelingen voor hun... 'medewerkers.'

Het is geen obscuur clubje hoodie dragende kelderbewoners

AW_Bos

@litebyte • 8 mei 2025 10:00

Ja, dat zeg ik toch niet?

litebyte @AW_Bos • 8 mei 2025 10:08

Met een grotere kans op domme onzorgvuldigheid, nalatigheid en het maken van fouten..

AW_Bos

@litebyte • 8 mei 2025 15:28

Wat wil je nu zeggen?

litebyte @AW_Bos • 8 mei 2025 15:40

Dat het een hele grote wijdvertakte organisatie (bedrijf) is, waar een grote kans op fouten is en minder controle/naleving van veiligheidsprocedures etc. Bijv. m.b.t. gebruik wachtwoorden/opslaan hiervan.

AW_Bos

@litebyte • 8 mei 2025 15:49

Ja, daar was ik mij al lang van bewust!

Bliksem B

@litebyte • 8 mei 2025 11:22

Dan is welkom123 zeker denkbaar

. Dit was ook mijn wachtwoord toen ik bij een gemeente kwam werken. Ik moest wel direct mijn wachtwoord veranderen. Maar toch...🤔

MaSk3d @Bliksem B • 8 mei 2025 12:48

En jij vervolgens 321welkom gekozen als wachtwoord.. haha

Tommy-D @AW_Bos • 8 mei 2025 09:54

‘Doe geen misdaad. MISDAAD IS SLECHT. xoxo vanuit Praag'
Nederlandse tekst op een Russische hackerssite.. dat zal ze leren!

AW_Bos

@Tommy-D • 8 mei 2025 09:59

Het stond er in het Engels.

kimborntobewild @AW_Bos • 8 mei 2025 11:42

Het stond er in het Engels.

Als men een quote doet, moet men erbij zetten dat het vertaald is.
Het is net zoiets als een plaatje van astronomisch object laten zien, maar er niet bij vermelden dat het een 'artist impression' is. Faliekant fout.

Lothlórien @kimborntobewild • 8 mei 2025 14:38

Een citaat moet de letterlijke tekst zijn, zeker als het een taal is die iedereen wel begrijpt.

Maar dat gezegd hebbende, het is ook niet sjiek om tweakers (of de redacteur) hier en public op te wijzen middels een vrij kinderachtige reactie.

AW_Bos

@Lothlórien • 8 mei 2025 15:27

Die kan je altijd een DM sturen.

Tommy-D @AW_Bos • 8 mei 2025 10:10

Dat is een stuk logischer, echter heeft het item het hier over een Nederlandse tekst. Waarom dan niet het origineel overnemen? De meeste mensen op Tweakers zullen echt wel Engels kunnen lezen en schrijven..

jaapzb @Tommy-D • 8 mei 2025 10:50

Je kunt ook gewoon voordat je er een comment over schrijft even doorklikken naar het bronartikel om te kijken of je reactie hout snijdt, in plaats van tweakers de schuld te geven

[Reactie gewijzigd door jaapzb op 8 mei 2025 10:51]

Lord Anubis @jaapzb • 8 mei 2025 11:41

Jouw reactie snijdt geen hout, nog niet eens papier. Tweakers had de originele tekst neer moeten plaatsen en anders er bij moeten zetten dat het vertaalde tekst is. Tweakers is zoals jij dus fout bezig.

HooksForFeet @Lord Anubis • 8 mei 2025 12:31

Hoi,

Nee.

Lord Anubis @HooksForFeet • 8 mei 2025 16:47

Als men een quote of parafrase doet, moet men erbij zetten dat het vertaald is. Zoek APA maar op.

HooksForFeet @Lord Anubis • 8 mei 2025 22:08

De APA stijl is voor academische teksten en wetenschappelijke artikelen, dus dat heeft geen moer met tweakers.net te maken.

Artz @AW_Bos • 8 mei 2025 10:44

Het zijn Russen. Ongeorganiseerde criminele bende van hoog tot laag.

Uhuruburu @Artz • 8 mei 2025 13:03

Wanneer het Russen zijn, willen misschien de Oekraïners wel te hulp komen en wat maatregelen richting het hoofdkwartier van LockBit organiseren. Gewoon een idee.

Qwazie @AW_Bos • 8 mei 2025 11:36

Nee, maar wel Lockbit123

white Lockbit123

Geen uitroepteken dus niet veilig

Vampyre @AW_Bos • 8 mei 2025 13:56

Maar plaintext wachtwoorden.....
En dat van een hackersgroepering. Dan leef je echt nog bij wijze van spreken in 1998.

Mijn ervaring is dat computer criminelen juist erg laks zijn met de beveiliging van de tools die ze zelf schrijven

DirtyBird 8 mei 2025 09:35

Wel sympathiek dat ze bereid zijn te betalen voor info om hun afpersers op te sporen. Je kunt ze in ieder geval niet van hypocrisie betichten.

litebyte @DirtyBird • 8 mei 2025 09:42

Mogelijk dat ze betalingen hiervoor niet eens zelf hoeven te doen.

Karebare 8 mei 2025 09:35

Moesten ze de private keys bemachtigd hebben, dat zou nog eens iets zijn... Stel dat je dat zou kunnen, vraag is dan wat je daarmee doet. Zo veel slachtoffers, zo verspreid... Wie is daarvoor bevoegd? Moesten het Amerikan zijn dan vermoed ik dat Trump die crypto in de naam van God en vrijheid snel zelf zou claimen.

Ben wel nieuwsgierig naar hoe dit zou gaan als ze ergens miljoenen kunnen recupereren.

beerse @Karebare • 8 mei 2025 10:58

Gezien ze wachtwoorden in plane-text hebben voor hun eigen systemen vraag ik mij af of ze wel met key-pairs werken. Serieuse besturings systemen hoeven sinds 1970 al geen plane-text wachtwoorden op te slaan.

Qwazie @Karebare • 8 mei 2025 11:40

Er zijn zeker PK's bij. Ook chat logs etc

Compuchip87 8 mei 2025 10:17

Daarbij zegt de ransomwaregroep dat er geen decryptietools gestolen zijn en gestolen bedrijfsgegevens niet zijn aangetast.

Mooi hoe droog dit gebracht wordt. De criminele versie van het standaardzinnetje "Het bedrijf laat weten dat de hackers geen toegang hebben gekregen tot intellectuele eigendommen en dat de gegevens van het bedrijf veiliggesteld zijn".

Snarfie 8 mei 2025 14:15

Dit bericht deed een glimlach op mijn mond ontstaan

[Reactie gewijzigd door Snarfie op 9 mei 2025 07:31]

yevgeny 8 mei 2025 11:08

Hoe kan het dat LockBit nog bestaat, FBI had ze in februari 2024 opgerold, of was dat misschien toch niet de hele waarheid ...

HooksForFeet @yevgeny • 8 mei 2025 11:25

Er is nooit door een van de diensten beweerd dat de bende is opgerold.

svane @yevgeny • 8 mei 2025 12:13

Het gene wat je net zelf verzint (dat LockBit opgerold zou zijn door de FBI), is inderdaad niet de hele waarheid.

Dat een bende die niet opgerold is nog steeds bestaat vind ik niet zo raar.

edit met aanvulling:
Wikipedia: LockBit

One person was arrested in Ukraine, one in Poland, and two in the United States. Two Russians were also named, but have not been arrested.

After the takedown, law enforcement posted information about the group on its dark web site, including that it had at least 188 affiliates.[8]

As of 22 February 2024 LockBit ransomware was still spreading.[64][8]

4 opgepakt. Nog minimaal 190 op vrije voeten. Het was een klap, maar niet bepaald 'opgerold'

[Reactie gewijzigd door svane op 8 mei 2025 12:18]

ReDnAx1991 8 mei 2025 09:32

Maar één woord voor toch... karma

kimborntobewild @ReDnAx1991 • 8 mei 2025 11:35

Flauwekul. Ze hebben nog steeds hun honderden miljoenen.

IStealYourGun 8 mei 2025 10:27

Iemand een link naar die dump? Kben benieuwd offer Belgische of Nederlandse bedrijven tussenstand.

RobVI @IStealYourGun • 8 mei 2025 12:30

Staat gewoon in het bronartikel.

Visitors to LockBit’s dark web sites are now greeted with a defiant message: “Don’t do crime CRIME IS BAD xoxo from Prague,” alongside a link to download a file named “paneldb_dump.zip” containing a MySQL database dump.

wetlips @RobVI • 8 mei 2025 13:01

they got a cookie from own deeg zou louis van gaal zeggen , alleen hij is expert in voetbal

Op dit item kan niet meer gereageerd worden.

Ransomwaregroepering LockBit is zelf slachtoffer van hack

Lees meer

Reacties (62)

Sorteer op:

Weergave: