LockBit is inmiddels een beruchte naam bij onder andere het Brabantse Joris Zorg, de KNVB, de Britse Royal Mail en Deutsche Bank. De ransomware is hardnekkig en uitermate zelfstandig. Hoe gaat dit populaire instrument van cybercriminelen te werk?
Digitalisering neemt toe, en daarmee ook de aantrekkelijkheid van cybercrime. Het heeft ertoe geleid dat de markt rondom ransomware-tools complexer is geworden. Net als dat het aanbod van legitieme software zich steeds meer op abonnementen richt, richten veel cybercriminelen de pijlen op Ransomware-as-a-Service (RaaS). Dit houdt in dat deze partijen tools en websites onderhouden die hackers in staat stellen om bedrijven binnen te dringen en af te persen.
Onderzoek van security-expert Arctic Wolf wijst uit dat LockBit marktleider is onder de RaaS-aanbieders. Op leak sites, waar de data van slachtoffers te vinden is, komt LockBit vier keer zo vaak voor als concurrent Alphv/BlackCat. De ransomware is sinds 2019 enorm in populariteit gegroeid.
Automatisering
Ook op het gebied van automatisering weerspiegelt de digitale onderwereld de ontwikkelingen die momenteel plaatsvinden in het gewone bedrijfsleven. LockBit kan zich namelijk zelfstandig verspreiden binnen het netwerk van een organisatie. De ransomware heeft zijn populariteit grotendeels te danken aan deze vorm van gebruikersgemak. Normaal gesproken moeten hackers zelf actief zijn binnen een netwerk, waardoor ze langzamer te werk gaan en sneller gedetecteerd kunnen worden. De marketing die op darkweb-sites te vinden is, roemt de service dan ook als ‘de snelste encryptie-software over de hele wereld’.
Laat het de Reclame Code Commissie niet horen, want het laat juist een aanzienlijk deel van de aardbol met rust. Net als bij de collega-criminelen van RagnarLocker herkent de ransomware organisaties die afkomstig zijn uit Rusland en omliggende (Moskou-gezinde) staten. De doelwitten komen wel vanuit allerlei windhoeken, maar wat betreft versie 2.0 van LockBit kwam bijna de helft van de slachtoffers uit de Verenigde Staten. De lui achter LockBit verwachten echter wel enige moraliteit van hun klanten qua slachtofferkeuze. De organisatie die de ransomware eind 2022 inzette om een Canadees kinderziekenhuis te hacken, kan inmiddels niet meer gebruikmaken van de ransomware en de data is door LockBit weer van het slot gehaald.
In Nederland heeft LockBit recent meermaals toegeslagen. Voetbalbond KNVB werd beroofd van 305GB aan interne gegevens, waaronder persoonsinformatie. Als de bond niet bereid was om 1 miljoen euro aan losgeld te betalen, zou de data online gepubliceerd worden op 26 april. Op moment van schrijven is het dreigement weggehaald van de LockBit-website, iets dat de suggestie wekt dat de KNVB overstag is gegaan of in de onderhandelingsfase zit. In veel gevallen betekent betaling in een dergelijke situatie helaas niet dat alle data weer beschikbaar wordt. Op 20 april publiceerde de hackersgroep 100GB aan data afkomstig van de Brabantse zorgverlener Joris Zorg. Niet alle Nederlandse organisaties zijn dus bereid cryptomunten te overhandigen. Inmiddels is duidelijk hoe LockBit voor nieuws zorgt, maar hoe werkt het precies?
LockBit: actie
Allereerst is het duidelijk dat niet alle kenmerken van LockBit nou zo uitzonderlijk zijn. Net als andere ransomware is het afhankelijk van een gevoelige plek binnen een organisatie. Dit kan een exploitatie zijn van software-zwaktes, bijvoorbeeld door nalatigheid wat betreft het updaten hiervan. Daarnaast kan het simpelweg een medewerker zijn die een mail iets te veel vertrouwt en daarmee per ongeluk de ransomware downloadt. Deze mails kunnen best overtuigend en legitiem klinken, mogelijk mede door hulp van ChatGPT.
Zodra LockBit binnen een netwerk beland is, begint de magie. Of beter gezegd, de unieke computercode van de ransomware-developers. De set ‘post-exploitation’ tools zijn erop uit om zoveel mogelijk grip op het netwerk te bemachtigen. Via Windows PowerShell zoekt de tool naar de accounts van systeembeheerders of breidt het zich in de breedte uit over zoveel mogelijk apparaten. Geen mens komt te pas aan deze vermenigvuldiging. Tegelijkertijd zet LockBit allerlei security-systemen uit en tracht het de herstel-opties onklaar te maken. Idealiter (vanuit de criminelen bekeken) is er geen enkel herstel meer mogelijk, maar alleen al het vertragen van het herstelproces is tijdswinst. Veel organisaties kunnen het zich niet veroorloven om langer uit de running te zijn, dus is het wenselijker om toch maar te betalen voor dataherstel. Daarnaast is een krappe deadline voor het illegaal vrijgeven van gegevens een krachtig drukmiddel.
Vervolgens wordt de encryptie-payload geplaatst. Nog altijd heeft LockBit geen menselijke inbreng nodig. De applicatie detecteert gevoelige informatie op de servers middels zelf ontwikkelde algoritmes en zet het achter slot en grendel. Alleen LockBit zelf heeft de sleutel: een decryptie-tool kan organisaties de mogelijkheid verschaffen om de data weer te herstellen. Gewoonlijk voorkomt men daarmee ook publicatie, maar daar is geen garantie op. Niets weerhoudt een hackersgroep ervan om alsnog aan de haal te gaan met de gestolen data.
Overigens is macOS niet gevrijwaard van LockBit. Het platform van Apple is vele malen minder gevoelig voor allerlei soorten malware. Toch lijkt deze port naar Mac nog in de embryo-fase: The Register meldt dat de applicatie eigenlijk alleen kan draaien op Apple-chips, maar daar blijft het (vooralsnog) bij.
De release van de 3.0-versie van LockBit in 2022 is een voorbeeld van het feit dat deze cybercriminelen continu hun tactieken aan het veranderen zijn. Verbeterde tools, anti-detectiemechanismen, een anti-debug feature en het uitschakelen van Windows Defender behoort tot de extra mogelijkheden ten opzichte van versie 2. Een saillant detail is dat LockBit een ‘bug bounty’-programma heeft gestart. Mede-hackers kunnen de cybercrime-groep assistentie verlenen als het gaat om bugs binnen de ransomware. Zo dragen ze bij aan een eventuele versie 4.0 en later.
Reactie
Wat kan een organisatie doen om een aanval van LockBit te voorkomen of om ervan te herstellen? Zoals gezegd is het betalen van losgeld een mogelijkheid, maar dat is verre van wenselijk. Hoewel deze optie technisch gezien niet illegaal is, zorgt het overmaken van crypto-geld ervoor dat deze organisaties verder kunnen gaan met hun criminele activiteiten.
Security-bedrijf Kaspersky geeft op de eigen website advies over het bestrijden van LockBit. Algemene raad rondom cybersecurity blijft van toepassing: wees zorgzaam met mails van buiten de organisatie, houd data back-ups bij en zorg ervoor dat security-software up-to-date is. Daarnaast versterken complexe wachtwoorden, multi-factor authenticatie de algemene veiligheid van bedrijfsnetwerken. Het versimpelen van systeemprivileges voorkomt eveneens verwarring, net als het verwijderen van ongebruikte accounts.
Niemand zal verrast zijn door het feit dat Kaspersky het gebruik van de eigen security-diensten aanraadt. Toch is het absoluut belangrijk om gebruik te maken van de relevante cybersecurity-services. Met name cloud-omgevingen zorgen ervoor dat er nieuwe zwaktes ontstaan, zoals bij de communicatie tussen componenten van een Kubernetes-systeem of de overdracht van gegevens naar buitenlandse datacenters.
Kortom: LockBit is een ransomware-applicatie die buitengewoon zelfstandig is. Het listige aspect is niet alleen de automatisering van verspreiding en versleuteling, maar het feit dat mensen zelf niet veel aan de knoppen hoeven te zitten. Het ligt in de lijn van verwachtingen dat de automatisering van ransomware zelfs nog verder kan gaan. Wat als een Ransomware-as-a-Service ook zelf kan zoeken naar doelwitten, of via een AI-chatbot al in contact kan komen met een slachtoffer om een deal te sluiten? In de toekomst staat ons cybercrime te wachten waar mensen steeds minder ‘in the loop’ zitten, met meer voorvallen en minder vereisten voor de innovatieve vaardigheden van criminelen.
1 uur geleden
