Waarom het oprollen van Lockbit weinig impact heeft in de strijd tegen ransomware

Goed nieuws over de strijd tegen cybercriminaliteit: afpersersgroep Lockbit is neergehaald. Maar dat gaat weinig uitmaken stelt Simen Van der Perre, strategic advisor bij Orange Cyberdefense.

De organisatie heeft tal van slachtoffers gemaakt, waaronder de Stad Geraardsbergen. In totaal gooiden ze vorig jaar 7GB gegevens (van burgers) op het internet. Ook gemeente Maldegem, provincie Namen, TVH en ziekenhuisgroep Vivalia staan op de lijst van Lockbit slachtoffers. De Nederlandse voetbalbond, KNVB, probeerde hieraan te ontsnappen door voor meer dan één miljoen euro aan losgeld te betalen. Toch is de ontmanteling van Lockbit niet veel meer dan één gewonnen veldslag. De oorlog woedt verder en ook de groep achter Lockbit keert ongetwijfeld terug.

Cybercrime is een wereldwijd probleem dat geen grenzen kent. Ook de bestrijding ervan vraagt dus om een globale aanpak. Daarom is het zeker positief dat de stopzetting van Lockbit het gevolg is van een gezamenlijke operatie van de FBI, het Britse National Crime Agency, en diensten uit Japan, Frankrijk, Zwitserland, Canada, Australië, Zweden, Nederland, Finland en Duitsland. In totaal zijn twee mensen gearresteerd en drie internationale aanhoudingsbevelen uitgevaardigd. Europol blokkeerde ook 200 cryptorekeningen. Helaas wil dat niet zeggen dat Lockbit daarmee verdwenen is…

Het ontmantelen van een grote cybergroepering en hun infrastructuur is zeker een belangrijke overwinning in de strijd tegen cybercrime. Het zorgt voor een tijdelijke disruptie van de activiteiten van een groep, en hopelijk zien andere criminelen het nieuws als een waarschuwing. Door de gedecentraliseerde en wereldwijde aanwezigheid van deze groepen is de kans echter klein dat ze hun activiteiten volledig gaan staken. Zo hebben we in het verleden al vaak gezien dat hackers zich hergroeperen. Bovendien hebben ze lessen getrokken uit het feit dat hun organisatie ontmanteld is, waardoor ze zich beter wapenen tegen toekomstige interventies.

Zolang er geen arrestaties gebeuren, kunnen cyberafpersers ongestoord hun gang blijven gaan.

Zolang er geen arrestaties gebeuren, kunnen cyberafpersers ongestoord hun gang blijven gaan. Het schrikt hen doorgaans ook niet af. Vaak schuiven ze de verantwoordelijkheid voor hun daden door naar hun slachtoffers: de bedrijven in kwestie hadden zich maar beter moeten beveiligen. De kans is daarom groot dat de groepsleden achter Lockbit onder een andere naam terugkeert.

Helft groeperingen ‘verdwijnt’ na 6 maanden

Zo’n rebranding komt overigens niet alleen voor na een interventie door de politie. Groeperingen doen het voortdurend, bijvoorbeeld wanneer ze kwetsbaarheden in hun eigen organisatie zien. In dat geval sluiten ze hun activiteiten af en komen ze terug als een ander merk en soms ook met een andere setup (e.g. een nieuw team ontwikkelaars). Het is ook de reden waarom het werk van politiediensten vandaag nog niet effectief genoeg is. Telkens ze een groep identificeren die op wereldschaal slachtoffers maakt, is de kans groot dat de bendeleden hun activiteiten intussen al onder een nieuwe merknaam voortzetten en op die manier nóg meer slachtoffers maken.

Bij de stopzetting van Lockbit zijn twee mensen gearresteerd, in Polen en Oekraïne. De kans is reëel dat andere bendeleden op korte termijn terugkeren.

Een bekend voorbeeld van zo’n rebranding is DarkSide, een groepering die in 2020 actief was. Kort nadat de leden hun activiteiten in juli 2021 hadden opgeschort, keerden ze terug als BlackMatter. Na amper enkele maanden stopte ook deze groep ermee en begonnen ze slachtoffers af te persen als ALPHV, ofwel BlackCat. Ruim de helft van de organisaties bestaat niet langer dan zes maanden en 75% verdwijnt binnen een jaar. Slechts een handvol groeperingen haalt de kaap van twee jaar. De oudste nog actieve groep is CI0p, met 43 maanden (op het moment van schrijven). De op één na oudste was RagnarLocker, dat in oktober 2023 ontmanteld werd.

Aantal groeperingen neemt toe

Uit data van de Security Navigator van Orange Cyberdefense blijkt dat politie-interventies zoals bij Lockbit doorgaans weinig verschil maken. De afgelopen jaren zagen we het aantal slachtoffers, ondanks successen in de strijd tegen cybercrime, telkens toenemen. De meeste groepen zijn zo veerkrachtig dat ze snel recht krabbelen en na drie maanden al terug actief zijn. Vorig jaar telden we een pak meer nieuwe dan gekende groeperingen (ouder dan twaalf maanden). Dat wil zeggen dat het aantal cybergroepen zelfs nog aanzienlijk toeneemt.

Bij de stopzetting van Lockbit zijn twee mensen gearresteerd, in Polen en Oekraïne. De kans is reëel dat andere bendeleden op korte termijn terugkeren. Ze hebben middelen om hun activiteiten te hervatten, en succesvolle politieacties zoals bij Lockbit lijken hen ook niet te ontmoedigen. Zolang we geen fysieke arrestaties uitvoeren en de hele groep oprollen, kunnen we een organisatie niet neutraliseren en moeten we ervan uitgaan dat ze onder een andere naam blijft bestaan.

Kortom, we mogen na Lockbit niet op onze lauweren rusten. Zowel cybersecurityprofessionals als politie-instanties moeten zich blijven aanpassen aan het dynamische dreigingslandschap.