Politiediensten uit twaalf landen, waaronder Nederland, hebben LockBit opnieuw een klap toegebracht. Een reeks acties tegen kopstukken van de beruchte ransomware-bende leidde tot vier arrestaties, onder wie een Franse ontwikkelaar. Bovendien zijn servers in beslag genomen die cruciaal zijn voor de infrastructuur van de groep.
De actie, waarover Europol bericht, volgt op een eerdere actie in de operatie Cronos waarbij onder leiding van Europol in meerdere landen LockBit-infrastructuur is verstoord. Afgelopen februari gingen in Nederland dertien belangrijke servers offline. In Polen en Oekraïne kwam het tot twee aanhoudingen. Onlangs werden behalve eerdergenoemde ontwikkelaar ook twee lieden in Engeland gearresteerd voor het ondersteunen van de activiteiten van een LockBit-filiaal. Spaanse agenten namen negen servers in beslag, onderdeel van de infrastructuur van de ransomware. Ze arresteerden ook een beheerder van een Bulletproof-hostingservice die door de ransomware-groep werd gebruikt.
Actor
Australië, het VK en de VS voerden op hun beurt sancties in tegen een actor die door de National Crime Agency was geïdentificeerd als een filiaal van LockBit. Deze partij is gelinkt aan Evil Corp, een andere grote ransomware-groep. LockBit heeft altijd ontkend banden te hebben met deze Russische criminele groepering. Gisteren werd ook bekend dat het VK maatregelen heeft getroffen tegen zestien Russische leden van Evil Corp. Volgens de Britse autoriteiten valt deze bende in opdracht van Moskou Navo-landen aan. Daarbij zouden de instructies rechtstreeks van drie Russische geheime diensten komen.
Tussen 2021 en 2023 was LockBit wereldwijd de populairste ransomware-variant met een groot aantal slachtoffers die werden geclaimd op de site met datalekken. Lockbit werkte volgens het losgeld-als-service-model. De kerngroep verkocht toegang aan gelieerde ondernemingen en ontving delen van de geïnde losgeldbetalingen. In Nederland behoorden de KNVB, Kendrion en Metalnet tot de gedupeerden. Behalve de Landelijke Politie heeft de Dienst Regionale Recherche Oost-Brabant bijgedragen aan de operatie Cronos.
Altijd lastig om te zeggen wie met elkaar samenwerken maar de stelligheid over aansturing vanuit Moskou lijkt me even geloofwaardig als dat Saddam Hoessein massavernietigingswapens had. Want Five Eyes-samenwerking wantrouwt NAVO bondgenoten zoals Duitsland en Frankrijk omdat ze economische belangen in de Europese achtertuin hebben die niet altijd overeen komen met de geopolitieke belangen van Angelsaksische landen zoals Australië, VK en VS. Dit leidt tot desinformatie want aanhoudingen in Polen en Oekraïne kunnen gaan om Russen die hun orders vanuit Moskou krijgen maar ook om criminelen die opportunistisch handelen zonder vaderlandsliefde.
De stelligheid over loyaliteit aan een land of het kapitaal blijft altijd een lastige als we kijken naar losgeld-als-een-service want dat impliceert eerder een samenwerking op basis van het middel dan het doel.
De kans dat de LockBit-bende geheel onafhankelijk is, lijkt me net zo groot als dat de leveranciers van communicatieapparatuur aan Hezbollah onafhankelijk zijn.
Je moet kijken waar het geld vandaan gehaald wordt. Gewone criminelen bevuilen vooral hun eigen omgeving. Dat is gewoon business voor hen.