Lockbit ontmaskerd in 2024: de achtervolging, arrestaties en toekomst van ransomware

Deze podcast is AI-gegeneerd

LockBit is jarenlang beschouwd als een van de meest gevreesde en invloedrijke ransomwaregroepen op het darkweb. De groep opereert sinds 2019 en heeft in korte tijd een enorme reputatie opgebouwd door wereldwijd honderden miljoenen dollars aan losgeld op te eisen en miljarden dollars aan schade te veroorzaken. De kern van hun succes zat in de professionele aanpak: ze boden hun ransomware in een ‘as-a-service’-model aan en werkten samen met tal van ‘affiliates’ die de daadwerkelijke aanvallen uitvoerden.
De afgelopen maanden is er echter een duidelijke kentering zichtbaar. Waar LockBit lange tijd bijna 40% van alle ransomwareaanvallen voor zijn rekening nam, is hun marktaandeel stevig gedaald. Belangrijke arrestaties, inbeslagnames van servers en het uitlekken van identiteit(en) hebben flinke impact gehad op de organisatie. Daarnaast is duidelijk geworden dat interne spanningen en een groeiend gebrek aan vertrouwen tussen de ontwikkelaars en affiliates hebben bijgedragen aan de onzekerheid binnen de groep.

Arrestatie van een ontwikkelaar

Een van de meest in het oog springende gebeurtenissen is de arrestatie van de 51-jarige ontwikkelaar Rostislav Panev, die de Russische én Israëlische nationaliteit bezit. Panev wordt door het Amerikaanse ministerie van Justitie (DOJ) beschuldigd van het ontwikkelen van de LockBit-malware en het onderhouden van de infrastructuur waarop de bende opereerde. Deze infrastructuur is cruciaal voor het aansturen, configureren en distribueren van de ransomware, en vormde jarenlang de kern van LockBits succes.
De arrestatie vond plaats in Israël, in augustus 2024. Panev zit sindsdien vast in afwachting van een uitleveringsverzoek naar de Verenigde Staten. Onderzoek heeft uitgewezen dat Panev regelmatig overlegde met een van de kernfiguren binnen LockBit over de builder (de software waarmee affiliates hun eigen versie van de ransomware konden samenstellen) en een control panel (een online dashboard waar de slachtoffers en losgeldbetalingen werden beheerd). Deze samenwerking speelde zich grotendeels af via anonieme fora en chatkanalen, typisch voor de georganiseerde cybercriminelen die hun sporen proberen uit te wissen.
Uit gelekte gegevens blijkt dat Panev tussen juni 2022 en februari 2024 ruim 230.000 dollar in cryptocurrency heeft ontvangen. Deze structurele inkomsten van gemiddeld 10.000 dollar per maand geven aan dat hij als ‘freelance-ontwikkelaar’ een belangrijke rol vervulde bij de doorontwikkeling van de LockBit-ransomware. Ook werden op zijn computer administratorreferenties gevonden voor een online opslagplaats van LockBit, waar onder andere de broncode voor meerdere versies van de ransomware en de StealBit-tool bewaard werd.

Onthulling van de leider

Nagenoeg gelijktijdig met de arrestatie van Panev heeft de FBI de identiteit van LockBits vermeende leider, de Rus Dmitry Yuryevich Khoroshev, blootgelegd. Deze man, ook bekend onder de aliassen ‘LockBitSupp’, ‘LockBit’ en ‘putinkrab’, zou een spilfunctie hebben binnen de bende: hij wordt niet alleen gezien als mede-ontwikkelaar van de ransomware, maar ook als het brein achter de dagelijkse aansturing van de groep. Hij onderhield contact met ontwikkelaars, wierf nieuwe leden en beheerde de ‘ransomware-as-a-service’-infrastructuur.
Volgens justitie heeft Khoroshev eigenhandig een fortuin opgebouwd. Het door LockBit gehanteerde verdienmodel (een 80/20-verdeling van het losgeld tussen de affiliate en de ontwikkelaar) bracht hem naar schatting zeker 100 miljoen dollar op. De Amerikaanse regering heeft nu een beloning van 10 miljoen dollar uitgeloofd voor informatie die tot zijn arrestatie leidt. Daarmee geven de autoriteiten een duidelijk signaal af dat de strijd tegen grote cybercriminele spelers als LockBit een internationale prioriteit is.
Bovenop deze opsporingsinspanningen circuleren in diverse online gemeenschap-kanalen details over het privéleven van Khoroshev. Zo zou hij volgens gelekte data in een bescheiden appartement wonen, poolen als hobby hebben en geregeld eten bestellen bij een lokale eetgelegenheid. Hierdoor ontstaat een beeld van een ‘gewone’ burger die ogenschijnlijk simpel leeft, maar achter de schermen een wereldwijd opererend crimineel netwerk aanstuurt.

Zware klap voor de cartel

Door het onderzoek van meerdere opsporingsinstanties – waaronder de FBI, de Britse National Crime Agency (NCA) en Europol – werden begin 2024 cruciale servers van LockBit in verschillende landen in beslag genomen. Deze servers vormden de kern van hun activiteiten, zoals de hosting van de zogeheten ‘leak site’ waar gestolen data publiek werd gemaakt om slachtoffers onder druk te zetten.
In een opvallende wending gebruikten de autoriteiten de eigen infrastructuur van LockBit om publieke mededelingen te doen. Zo werd de oorspronkelijke leak site vervangen door een officiële overheidsboodschap, inclusief spottende teksten en aanwijzingen over wat de politiediensten allemaal hadden ontdekt. Dit publieke ‘trollen’ van de bende was niet alleen bedoeld om LockBit te provoceren, maar vooral om te laten zien dat zelfs de meest geavanceerde criminele groepen niet ongrijpbaar zijn.
Dat overheidsinstanties bij deze actie ook statistieken en lijstjes van affiliates en slachtoffers publiceerden, was een extra klap voor de reputatie van LockBit in de cybercriminele gemeenschap. Vertrouwelijkheid is cruciaal voor deze groepen, en het blootleggen van interne data kan potentiële nieuwe rekruten afschrikken en bestaande leden laten twijfelen over hun eigen veiligheid.

Van darkweb naar opsporing

Hoewel LockBit na de grootschalige inbeslagnames probeerde te herstellen met nieuwe domeinen en alternatieve sites, lijkt het vertrouwen van affiliates en partners in de groep te zijn geschaad. Bovendien staan verschillende leden op opsporingslijsten, wat de onderlinge communicatie bemoeilijkt. De angst om opgepakt te worden – of door de autoriteiten ondervraagd te worden – leidt tot interne verdeeldheid en mogelijk tot het doorspelen van gevoelige informatie aan de politie.
Deze situatie heeft gezorgd voor een afname van het aantal aan LockBit toegeschreven aanvallen in de afgelopen maanden. Waar de groep voorheen maandelijks tientallen of zelfs honderden slachtoffers online ‘uitmeette’, is dat aantal significant geslonken. Tegelijkertijd zijn er signalen dat sommige LockBit-leden overstappen naar concurrerende kartels, of zelfs als individuen hun activiteiten voortzetten onder een andere naam.

De opmars van ransomhub

In het vacuüm dat ontstaat door de neergang van LockBit, stapt RansomHub naar voren als nieuwe grote speler. Sinds februari 2024 is RansomHub razendsnel gegroeid. In september 2024 claimde deze groep naar verluidt 19% van alle slachtoffers die door ransomwaregroepen op hun extortionwebsites werden gemeld – een aanzienlijke prestatie voor een relatief nieuwe speler.
RansomHub hanteert een model vergelijkbaar met LockBits RaaS-aanpak, maar voegt daar enkele technologische vernieuwingen aan toe. Zo zet de groep in op ‘remote encryption’, een methode waarbij de versleuteling soms zelfs kan plaatsvinden zonder langdurige fysieke aanwezigheid op het netwerk van het slachtoffer. Affiliates krijgen tools in handen die specifiek zijn ontworpen om geavanceerde beveiligingssystemen te omzeilen en direct maximale schade aan te richten.
Hoewel RansomHub beweert een ‘apolitieke’ groep te zijn die zich louter richt op het verdienen van geld en zegt geen organisaties uit bepaalde landen aan te vallen, blijkt in de praktijk dat sectoren als de gezondheidszorg en industriële productie niet worden ontzien. Sterker nog, enkele prominente ziekenhuizen en zorginstellingen zijn recentelijk getroffen. De belofte om geen kritieke sectoren plat te leggen blijkt dus vooral een marketingpraatje te zijn.

Dynamiek in de ransomwarewereld

Het succes van een groep als RansomHub en de neergang van LockBit tonen de dynamische aard van de ransomwaremarkt. Het is gebruikelijk dat grote spelers na verloop van tijd concurrerende groepen zien opkomen. Soms liggen interne conflicten, arrestaties of technische lekken ten grondslag aan de afname van hun invloed. Tegelijkertijd kan het ook gebeuren dat criminele bendes samenvoegen tot een nieuwe groep, of juist uit elkaar vallen in kleinere celstructuren.
Opsporingsdiensten maken hier bewust gebruik van door niet alleen kopstukken te arresteren, maar ook onderling data en onderzoek te delen, soms zelfs met particuliere cybersecuritybedrijven. Zo kunnen aanhoudingen in het ene land leiden tot vervolgacties in een ander land, omdat de infrastructuur van ransomwaregroepen zich doorgaans uitstrekt over verschillende continenten. In het geval van LockBit zijn bijvoorbeeld servers in Nederland, Duitsland, Finland, Frankrijk, Zwitserland, Australië, de Verenigde Staten en het Verenigd Koninkrijk offline gehaald.

Nieuwe tactieken en bedreigingen

Ondanks de toegenomen aandacht van opsporingsdiensten, blijft ransomware een hardnekkige dreiging. Nieuwe criminele groepen leren van eerdere fouten en ontwikkelen methoden om detectie en opsporing te bemoeilijken.

1. Gerichtere aanvallen: Cybercriminelen doen steeds intensiever vooronderzoek naar hun doelwitten. Ze gebruiken LinkedIn-profielen, bedrijfswebsites en gelekte data om medewerkers te benaderen en social-engineeringaanvallen uit te voeren.
2. Gebruik van zero-daylekken: Sommige ransomwaregroepen beschikken over middelen om onbekende beveiligingslekken (zero-days) te exploiteren, waardoor ze ongestoord kunnen binnendringen in netwerken.
3. Dubbele en drievoudige afpersing: Behalve het versleutelen van data en dreigen met publicatie, proberen criminelen slachtoffers ook bij derden in diskrediet te brengen. Soms worden gegevens rechtstreeks verhandeld op het darkweb, ook als er betaald is.
4. Snelle evolutie: De ransomwarecode ondergaat frequente updates om antivirussoftware te slim af te zijn. Makers testen continu welke detectieregels ze kunnen omzeilen.
5. Ransomware-as-a-service: Het RaaS-model verlaagd de drempel om ransomwareaanvallen uit te voeren. Minder technisch bekwame criminelen kunnen zich inkopen en zo in korte tijd aanzienlijke schade aanrichten.

Wat betekent dit voor organisaties?

Organisaties die hun cybersecurity niet op orde hebben, lopen groot risico slachtoffer te worden. Het is daarom van belang om meerdere beveiligingslagen te implementeren. Zo kan worden voorkomen dat malware zich binnen het bedrijfsnetwerk gemakkelijk kan verspreiden. Een goede basis omvat:

• Patchmanagement en systeemupdates: Zorg ervoor dat alle systemen, van besturingssystemen tot applicaties, op tijd worden bijgewerkt. Achterstallige patches blijven de meest gebruikte ingang voor criminelen.
• Segmentatie van het netwerk: Door het netwerk op te delen in kleinere segmenten, wordt de potentiële schade na een inbraak beperkt. Zo kan één besmet account niet automatisch de hele organisatie platleggen.
• Regelmatige offsite-back-ups: Door offline (of offsite) back-ups te maken en te testen, kan een organisatie in veel gevallen na een aanval sneller herstellen. Bovendien verlaagt dit de druk om losgeld te betalen.
• Bewustwording en training: Werknemers blijven de zwakste schakel als ze niet goed worden getraind in het herkennen van phishingmails, verdachte links of ongebruikelijke verzoeken.
• Incidentrespons en crisiscommunicatie: Een duidelijk draaiboek en een geoefend crisisteam kunnen het verschil maken tussen een grootschalige datalek en een tijdige beperking van de schade. Organisaties dienen direct te weten welke stappen te nemen en welke externe hulp beschikbaar is.
• Samenwerking met autoriteiten: Het inschakelen van politie of gespecialiseerde instanties kan helpen om gegevens terug te vinden en nieuwe aanvallen te voorkomen. Veel overheidsinstanties beschikken over decryptietools en kunnen onderhandelingen met criminelen (in samenspraak met het slachtoffer) coördineren.

Conclusie en vooruitblik

De aanhoudende acties tegen LockBit laten zien dat zelfs de grootste ransomwaregroepen niet onverslaanbaar zijn. Arrestaties van ontwikkelaars en kernfiguren, zoals Panev en de ontmaskering van vermeende leider Khoroshev, hebben een destabiliserend effect. Ook het zichtbaar maken van de buit en de interne structuur van de bende op hun eigen website heeft de geloofwaardigheid van LockBit bij criminelen en potentiële rekruten ondergraven.
Toch is het ransomwareprobleem niet opgelost. In de slipstream van LockBits verzwakking hebben nieuwkomers zoals RansomHub hun positie versterkt. Ze richten zich op hetzelfde soort slachtoffers – van ziekenhuizen tot multinationals – en maken gebruik van soortgelijke tactieken die vaak nóg geavanceerder zijn. Zolang er vraag is naar dergelijke afpersingsdiensten en zolang affiliates vrijelijk kunnen opereren, zal ransomware aantrekkelijk blijven voor criminelen.
De inzet van opsporingsinstanties en overheden over de hele wereld is de afgelopen jaren sterk opgevoerd. Internationaal worden steeds meer afspraken gemaakt over het delen van informatie, het bevriezen van bezittingen van criminelen en het gezamenlijk aanpakken van servers en infrastructuur. Tegelijkertijd stimuleren overheden bedrijven en burgers om cyberincidenten te melden. Zo kunnen de autoriteiten beter zicht krijgen op de omvang en de modus operandi van ransomwaregroepen.
Voorlopig blijven er nog grote uitdagingen bestaan. Ransomwaregroepen werken anoniem, hebben vaak diverse nationaliteiten en verblijven in landen waar de autoriteiten minder geneigd zijn om samen te werken met Westerse opsporingsdiensten. Ook ontwikkelen cybercriminelen continu nieuwe methoden om aan opsporing te ontkomen. De strijd tegen ransomware is daarmee een voortdurende wapenwedloop, waarin zowel criminelen als beveiligers en overheidsinstanties blijven innoveren.
Belangrijk is dat organisaties en individuele gebruikers alert blijven, beveiligingsmaatregelen op peil houden en incidenten melden. Alleen door gezamenlijk de krachten te bundelen, kan de dreiging van ransomware verder worden teruggedrongen. Het succes van de acties tegen LockBit mag dan een bewijs zijn dat het kan, maar de opkomst van RansomHub laat zien dat de cyberwereld voortdurend in beweging is en dat blijvende inspanning nodig blijft.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.