LockBit is een van de grootste en bekendste bendes die gijzelsoftware (ransomware) als dienst aanbiedt. Andere criminelen kunnen de software bij LockBit kopen en gebruiken om aanvallen uit te voeren. Met ransomware worden computersystemen versleuteld, zodat bedrijven niet meer bij de bestanden kunnen. De criminelen vragen vervolgens losgeld om de systemen weer vrij te geven.
De leider van LockBit was eerder bekend onder de naam LockBitSupp, maar zijn echte identiteit hield hij geheim. Door de jaren heen waande hij zich onschendbaar. Toen de website van Lockbit afgelopen februari door een samenwerking van internationale autoriteiten werd overgenomen, lachte hij dat ook weg. Hij was vergeten zijn servers te patchen, zei hij. "Ik ben lui geworden van vijf jaar lang zwemmen in het geld."
Nu pakken opsporingsdiensten flink uit met de bekendmaking van Khoroshev. Op X publiceert het Britse National Crime Agency een onthullingsvideo waarin twee pixelachtige foto's steeds duidelijker worden totdat de Rus te zien is. "Zo geven ze een signaal af en zetten ze LockBit voor paal", zegt Willem Zeeman van cyberbeveiligingsbedrijf Fox-IT.
LockBit bestaat sinds 2019 en zou duizenden slachtoffers hebben gemaakt in zo'n 120 landen. Dat leverde hun honderden miljoenen euro's op. In Nederland is LockBit het bekendst van de aanval op de KNVB. De voetbalbond betaalde losgeld om te voorkomen dat gestolen persoonsgegevens van bijvoorbeeld leden openbaar zouden worden.
De leider van de bende zegt dat de FBI bluft met deze bekendmaking en dat hij geen Khoroshev heet. Maar dat is niet erg aannemelijk, denken deskundigen.
"Ik ga ervan uit dat ze de juiste hebben", zegt Zeeman. "Hier hebben zoveel landen en autoriteiten aan meegewerkt. Die zullen niet zomaar iets publiceren. Want als het de verkeerde is, maak je zijn leven kapot."
Daar sluit cybersecurityspecialist Daan Keuper van Computest zich bij aan. "Dit is waarschijnlijk niet gebaseerd op één stukje bewijs", zegt hij. Hoe Khoroshev tegen de lamp liep, is niet bekend. "Maar als je zo lang anoniem op het internet zit, maak je een keer een foutje", zegt Keuper. "Uiteindelijk wil je bijvoorbeeld ergens je verdiende geld aan uitgeven. Dus laat je sporen na."
De FBI looft nu een beloning van 10 miljoen dollar uit voor de tip die leidt tot de arrestatie van Khoroshev. "Ze kunnen hem nu niet pakken", zegt Keuper. "Want hij woont in Rusland en dat land heeft geen uitleveringsafspraken met de Verenigde Staten. Maar hij kan op een sanctielijst komen, zodat hij opgepakt kan worden als hij de grens over gaat. En in het buitenland kunnen ze zijn cryptotegoeden bevriezen. Ze kunnen hem wel op andere manieren raken."
Nu Khoroshev bekendgemaakt is als het meesterbrein achter LockBit, zal hij wel twee keer nadenken voordat hij naar het buitenland gaat. Maar het presenteren van zijn identiteit heeft ook voordelen. "Criminelen gaan waarschijnlijk niet meer zo snel met hem in zee", zegt Keuper. "Want zij denken dan: de FBI weet wie jij bent, dus is mijn eigen identiteit misschien ook niet goed beschermd."
LockBit heeft daardoor een flinke deuk opgelopen. Keuper verwacht dat de bende de handdoek nu definitief in de ring gooit. Zeeman zegt dat Khoroshev iets te laat is gestopt. "Hij is waarschijnlijk allang financieel onafhankelijk. Daarom kon LockBit bij bedrijven afdwingen om te betalen. Ze hadden niets te verliezen."
De ransomwaremakers werden vertrouwd door veel andere criminelen. Zeeman legt uit dat ze vertrouwen wisten te wekken met werkende software en goede dienstverlening. "Een sterk merk", zegt hij. "Als wij te maken kregen met LockBit-zaken, zagen we altijd dat de boel goed op slot werd gezet, met weinig kans op systeemherstel. Bij onbekendere gijzelsoftware was het vaker prutswerk."
Nu de autoriteiten LockBit flink aanpakken, is ransomware niet ineens verdwenen. Het is nog steeds lucratief, zeggen de experts. Al is het wel zo dat trends verschuiven. Nu bedrijven zich beter wapenen tegen ransomwareaanvallen met goede back-ups, stelen criminele organisaties vaker data en persen ze slachtoffers af zonder de boel te versleutelen.
De bendes trekken daarom vaker data-experts aan in plaats van malware-experts. "Die weten hoe ze moeten grasduinen door gestolen informatie en vissen daar bestanden uit met de meeste financiële waarde", legt Keuper uit. "Het businessmodel van criminelen verandert."
Source: Nu.nl economisch