Reactie op neerhalen servers beruchte hackersgroep Lockbit

Vandaag is bekendgemaakt dat de infrastructuur van de ransomware groep Lockbit in beslag is genomen door internationale handhavingsinstanties. Deze operatie, genaamd Cronos, zou Lockbit 3.0 buiten werking moeten stellen. Doordat de leden van de hackersgroep geen toegang meer hebben tot hun eigen infrastructuur is het nu onmogelijk voor ze om te communiceren met slachtoffers en losgeld te eisen.

Ivan Kwiatkowski, cybersecurity onderzoeker bij Harfanglab, legt uit: “Deze grote operatie, die de kracht en het belang van internationale samenwerking aantoont, is een overwinning in de strijd tegen cybercriminaliteit. Het succesvol in beslag nemen van de infrastructuur van zo’n productieve Lockbit 3.0 groep vertraagt niet alleen hun activiteiten, maar geeft ook een sterk signaal af aan hun ‘filialen’. Het ecosysteem van ransomware werkt als een bedrijf, met talloze belanghebbenden die betrokken zijn bij de infectieketen. Deze spelers zijn overal ter wereld gevestigd en hebben elk zeer specifieke taken in de distributie van ransomware. Het is te hopen dat het in beslag nemen van deze infrastructuur autoriteiten toegang geeft tot decryptiesleutels of losgelden, zodat slachtoffers hun gegevens of hun geld kunnen terugkrijgen.”

“We moeten deze grote operatie niet bagatelliseren, maar we moeten helaas voorzichtig blijven. We hebben in het verleden veel gevallen gezien waarbij groepen een manier vinden om terug te komen, hun architectuur te herstructureren en uiteindelijk door te gaan met opereren. Hoewel sommige actoren zijn gearresteerd als onderdeel van deze operatie, lijkt het onwaarschijnlijk dat alle leiders of leden van Lockbit zullen worden gearresteerd. Dit betekent dat veel filialen in staat zullen zijn om door te gaan met het verspreiden van ransomware, eventueel voor andere groepen, met andere malware, terwijl ze wachten tot de infrastructuur van Lockbit opnieuw is opgebouwd. Er is geen twijfel dat de inbeslagname van de infrastructuur de activiteiten van de bende een tijdje zal vertragen, maar we kunnen aannemen dat een aantal spelers nog steeds de broncode voor de malware van de groep hebben; en een manier zullen vinden om hun ecosysteem opnieuw op te bouwen.”

HarfangLab is een Frans cyberbeveiligingsbedrijf dat EDR-software (Endpoint Detection and Response) levert, een technologie die anticipeert op cyberaanvallen op computers en servers en deze neutraliseert. HarfangLab was de eerste EDR die in 2020 door ANSSI werd gecertificeerd. Het bedrijf heeft vandaag de dag meer dan 300 klanten, waaronder overheidsinstellingen, bedrijven en internationale organisaties die actief zijn in zeer gevoelige sectoren. De EDR van HarfangLab, die momenteel wordt ingezet op meer dan 800.000 endpoints, onderscheidt zich door: de openheid van de oplossing, die van nature integreert met alle andere beveiligingsbricks; de transparantie, omdat de gegevens die door de EDR worden verzameld toegankelijk blijven; en de digitale onafhankelijkheid die het biedt, omdat klanten vrij zijn om hun hostingmodus te kiezen: public of private cloud, of hun eigen infrastructuur.

Meer informatie op: www.harfanglab.io