2min Security

Europese politiediensten delen klap uit aan ransomware-groep LockBit

Europese politiediensten delen klap uit aan ransomware-groep LockBit

Een nieuwe tegenslag voor de ransomware-hackers van LockBit. In het kader van de voortdurende Operatie Cronos hebben Europol en Eurojust onlangs leden van de groep gearresteerd en apparatuur in beslag genomen. Daarnaast kreeg elders de tweede man van Evil Corp, de Rus Aleksandr Ryzhenkov, sancties opgelegd en als handlanger van LockBit geoormerkt.

In de voortdurende strijd tegen ransomwarebendes, en partijen als LockBit en Evil Corp in het bijzonder, hebben Europol en Eurojust een nieuwe slag geslagen. Autoriteiten in Frankrijk hielden een verdachte ontwikkelaar voor LockBit aan en in het Verenigd Koninkrijk arresteerde de politie twee LockBit-affiliates. In Spanje verdween een bulletproof hostingbeheerder achter de tralies. Ook nam de Spaanse politie bij deze laatste actie negen servers in beslag.

Europol-Cronos-1

Sancties voor Evil Corp-topman

Op hetzelfde moment hebben de Verenigde Staten, het VK en Australië sancties opgelegd aan de Rus Aleksandr Ryzhenkov (alias Beverley). Hij wordt gezien als de tweede man van de Russische ransomwarebende Evil Corp die nauwe banden heeft het de Russisch veiligheidsdienst FSB.

Opvallend is dat de Rus ook als een LockBit-affliate bekend werd gemaakt, wat wil zeggen dat hij een schakel is in de nauwe samenwerking tussen de twee bendes. Affiliates verspreiden bijvoorbeeld ransomware van een andere partij in ruil voor een deel van de criminele winst. Een groep kan meerdere affiliates hebben, en het meeste geld beloven aan de affiliate die het succesvolst is. LockBit ontkent dit verband overigens. Naast Ryzhenkov kwamen ook 16 andere personen die relaties met Evil Corp hebben op de sanctielijst van de VS.

Ransomware-affiliates aangepakt

Volgens security-experts hebben de recente acties van politiediensten veel schade toegebracht aan de ransomware affiliate-markt. In februari van dit jaar slaagde Operatie Cronos al in het ontmantelen van de LockBit-infrastructuur. De ransomwarebende weet zijn aanwezigheid nu alleen nog te etaleren via blogs op het Dark Web, maar ziet nu dat ook dat zijn meer bovengrondse affiliate-netwerk wordt aangepakt.

Lees ook: Gaat de aanval op LockBit ons verlossen van ransomware?