Ransomwarebende LockBit werd op 7 mei 2025 zelf gehackt. Een waarschijnlijk Tsjechische cyberonderzoeker openbaarde een database met logs van ransomware-aanvallen van LockBit. Die geven onder meer een inkijkje in de protocollen, psychologische manipulatie, drukmiddelen en prijsbepaling van de cybercriminelen die losgeld vragen in ruil voor gegijzelde data. Voorzitter van Ciso Platform Nederland, Dimitri van Zantvliet, zet de werkwijze van LockBit in zes stappen uiteen. ‘Het is tijd om cyberafpersing niet langer te zien als een ict-probleem. Dit is een strategische dreiging op directieniveau.’
Zijn analyse is gebaseerd op een openbaar gemaakte transcript Timestamped_LB_Chats.txt dat door ene D4RK-R4BB1T op Github is gedeeld. Op het darkweb maakte de onthuller een verwijzing naar zijn afkomst: ‘Don’t do crime, crime is bad xoxo from Prague‘, schreef diegene op de darkwebpagina waar LockBit zijn ransowmare als dienst aanbood. Het bestand onthult de ‘geheimen’ van een crimineel imperium dat ooit verantwoordelijk was voor zo’n 44 procent van de wereldwijde ransomware-incidenten. Het bevat bijna zestigduizend Bitcoin-walletadressen, die interessant kunnen zijn voor opsporingsdiensten die losgeldbetalingen willen traceren. Ook biedt het inzicht in de beveiliging en backbone van LockBits ransomware-as-a-service-model.
Jarenlang opereerde LockBit vrijwel onaantastbaar, maar de inzichten uit deze data zouden weleens een een keerpunt kunnen worden voor de groep doordat beveiligers en opsporingsdiensten de handelswijze nu nog beter in kaart hebben. Al vreest Van Zantvliet dat ondanks deze enorme klap voor de cyberbende het kat-en-muis-spel tussen criminelen en opsporingsdiensten ‘helaas’ altijd zal blijven bestaan.
1. De werkwijze van LockBit
Van Zantvliet ziet dat de cyberbende volgens strikte protocollen handelt. Het hanteert bijvoorbeeld automatische instructies naar slachtoffers voor test-decryptie. Bestanden moeten in een ZIP-bestand worden aangeleverd dat niet groter is dan 10MB en mogen geen extensiewijzigingen bevatten. Uploaden door de criminelen gebeurt via TOR-adressen. LockBit opereert met een gedistribueerde infrastructuur. De betaling van losgeld kan uitsluitend in bitcoin worden voldaan. In alle geanalyseerde onderhandelingen is het proces hetzelfde. Er wordt eerst een testbestand gestuurd, vervolgens wordt het bitcoinadres bevestigd en er volgt een decryptiedemo, pas na volledige betaling volgt de definitieve ontgrendeling.
2. Psychologische manipulatie
De criminelen zetten verschillende drukmiddelen en bedreigingen in. Zoals de dreiging om data te publiceren of klanten te informeren bij het uitblijven van betaling. Van Zantvliet: ‘Beweringen zoals ‘we zagen jullie financiële rapporten’ worden gebruikt om absurde losgeldeisen te stellen’.’ De onderhandelingstranscripten leggen ook empathische valstrikken bloot. LockBit verandert regelmatig van toon en suggereert medeleven: ‘We kunnen een korting geven. Dank voor uw begrip. Het is gewoon zakelijk’, klinkt het dan.
3. Prijsstrategie
Het gevraagde losgeld dat in de logs wordt genoemd varieert tussen de vierduizend en honderdvijftigduizend dollar en is afhankelijk van de bedrijfsomvang en de urgentie van toegang tot die data. Ook zijn er allerlei onderhandelingspogingen te zien: ‘We kunnen 3.800 dollar doen?’ en ‘Oké 3.600 dollar met 10 procent korting’, zijn daar voorbeelden van. Vaak worden ook meerdere Bitcoin-adressen gebruikt om witwassen te faciliteren.
4. Technische operaties
De logs geven ook inzicht in het decryptieproces. ‘Tech-team zal de decryptor leveren’ wordt vaak ingezet om ondanks vertragingen toch geloofwaardig te blijven naar slachtoffers. Decryptietools verschillen per platform zoals .exe voor Windows en aangepaste scripts voor Linux/ESXi.
5. Menselijke fouten bij slachtoffers
Van Zantvliet is geraakt door de wanhoop van sommige slachtoffers die terugkomt in de transcripten. ‘Je leest dan teksten als: ‘Mijn gezin is afhankelijk van deze baan’ of ‘uw vraagprijs is zes keer mijn jaarsalaris’.’ De problemen ontstaan regelmatig door een zwakke ict-beveiliging. Aanvallers bespotten wachtwoorden zoals: P@ssw0rd. Bedrijven beschikken vaak over een slechte back-upstrategie en hebben geen netwerksegmentatie of getest herstelplan, blijkt uit de chats. Het valt hem op dat slachtoffers vaak emotioneel reageren en slecht voorbereid zijn, wat hun onderhandelingspositie verslechtert.
6. Scripts
Ook ziet Van Zantvliet een aantal trends, zoals automatisering en chatbots. ‘Herhaalde instructies wijzen op gescripte interacties.’ Maar hij ziet ook kwetsbaarheden bij LockBit zelf. ‘LockBits voorspelbare communicatiepatronen bieden mogelijkheden voor verdediging. Op standaardteksten in ransomfiles of scripts kan bijvoorbeeld gescand worden waardoor een aanval eerder gedetecteerd wordt.’ Hij vervolgt: ‘Gelukkig is de LockBit-bende voorlopig even uit de lucht. Het wachten is natuurlijk op de opvolger met dezelfde criminelen in een ander jasje. Het is een eindeloos kat-en-muis- spel helaas.’
Van Zantvliet concludeert: ‘De strijd tegen ransomware vereist strategische maatregelen. Ciso’s, cio’s en ceo’s moeten voorbereid zijn, niet alleen met technologie, maar ook met crisismanagement en bedrijfscontinuïteit.’
Meer lezen over dit onderwerp?
In het artikel Ransomwarebende LockBit 5 dagen na takedown alweer in de lucht dat in januari 2025 op Computable vescheen, wordt aan de hand van een jaarrapport van NCC Group, het moederbedrijf van Fox-IT, een licht geschenen op de rol van LockBit binnen de wereld van ransomware-aanvallen.
