Orange Cyberdefense: “Verzwakking van LockBit en Everest geen reden om te juichen”

Het lijkt een overwinning: de gevreesde Cyber Extortion-groepen (CyX) LockBit en Everest zijn gehackt. Bij LockBit werd een interne database gelekt met gevoelige gegevens, waaronder chatlogs en wachtwoorden. Hoewel dit nieuws op het eerste gezicht opluchting kan geven, waarschuwt Jort Kollerie van Orange Cyberdefense dat dit juist kan leiden tot een versnipperd en daardoor gevaarlijker dreigingslandschap.

De situatie deed bijna denken aan een cybercrimesoap: beide dark web-leksites toonden de spottende boodschap: “Don’t do crime. CRIME IS BAD xoxo from Prague.” Bij LockBit was de klap nog groter: hun interne database werd openbaar gemaakt, inclusief ongeveer 60.000 unieke Bitcoin-adressen, meer dan 4.400 interne chatberichten tussen LockBit en hun slachtoffers, en de inloggegevens van 75 leden.

De ironie van de hacks

Er zit een wrange ironie in deze gebeurtenissen: juist de cybercriminelen die jarenlang organisaties hebben afgeperst, zijn nu zelf slachtoffer geworden van de kwetsbaarheden die ze normaal gesproken uitbuiten. De aanvallers wisten binnen te dringen via een bekende WordPress-kwetsbaarheid; bij LockBit bleken wachtwoorden zelfs onversleuteld opgeslagen. Een zeldzaam geval van criminelen die niet alleen een koekje van eigen deeg krijgen, maar ook pijnlijk laten zien hoe slecht hun eigen basisbeveiliging was.

Gevolgen voor de cybercrimegroepen

De hack heeft niet alleen de reputatie van LockBit en Everest een zware klap toegebracht, maar zorgt ook voor onrust binnen hun netwerken. CyX-groepen opereren vaak via een gedecentraliseerd model, waarbij meerdere aangesloten cybercriminelen samenwerken. Nu interne informatie is uitgelekt, komt de onderlinge samenwerking onder druk te staan.

“Als grote spelers zoals LockBit en Everest verzwakken, ontstaat er een nieuwe dynamiek binnen het cybercrimelandschap”, zegt Jort Kollerie, Strategic Advisor bij Orange Cyberdefense. “De bekende term hiervoor is dan ook: one dies, one rises. Waar deze CyX-groepen jarenlang de markt domineerden, zien we nu een wildgroei aan kleinere, chaotisch opererende spelers. Die maken vaak gebruik van gelekte tools, zonder duidelijke structuur of aansturing. Dit leidt tot een onvoorspelbaar dreigingslandschap met uiteenlopende vormen van cyber extortion, van kleinschalige opportunistische aanvallen tot gecoördineerde campagnes. Voor securityteams wordt het daardoor veel moeilijker om aanvallen tijdig te herkennen.”

Kansen voor veiligheidsdiensten

Toch bieden de lekken ook waardevolle inzichten voor de verdedigende kant. De gelekte chatlogs en documenten geven een unieke inkijk in de interne structuur, communicatie en werkwijze van LockBit. Als er ook informatie in staat over andere betrokkenen, zoals de uitvoerders van de cyberaanvallen, kan dat helpen bij het opsporen van deze personen of netwerken. 

“Ik verwacht niet dat de uitgelekte gegevens direct tot arrestaties leiden”, stelt Kollerie. “Criminelen gebruiken vaak proxy’s, VPN’s, cryptovaluta-mixers en andere methoden om hun identiteit te verbergen. Maar elementen zoals Bitcoin-adressen of communicatiepatronen kunnen wel degelijk helpen om betalingen aan specifieke aanvallen te koppelen. Arrestaties zijn niet direct te verwachten, maar ook niet uit te sluiten.”

Kwetsbaarheden aan de andere kant

Opvallend is dat deze hack, anders dan eerdere lekken zoals bij Conti, niet voortkomt uit interne onenigheid of klokkenluiders. Dit keer gaat het om een doelgerichte aanval van buitenaf.

“Wie er precies achter zit, is lastig vast te stellen”, zegt Kollerie. “Het kan gaan om statelijke actoren, rivaliserende criminele groepen of zelfs white hat-hackers. Wat duidelijk is: ook deze groepen zijn kwetsbaar. Voor onze verdediging betekent dit dat we niet alleen moeten kijken naar wie er aanvalt, maar ook naar hoe deze aanvallers zelf opereren, communiceren en fouten maken. Elk lek geeft ons aanknopingspunten om hun gedrag beter te begrijpen. Threat intelligence-teams kunnen de data vertalen naar detectieregels. Daarmee kunnen bedrijven hun verdediging aanscherpen op basis van bekende aanvalspatronen. Zo bieden de lekken niet alleen een blik achter de schermen, maar ook concrete kansen om de cybercriminelen een stap voor te blijven.”