LockBit onderzoek in De Volkskrant

Dinsdag, 4 mei 2020. De hulp van de experts van Northwave wordt ingeroepen bij een grote ransomware aanval. Het gaat hier om een nieuwe ransomware-familie genaamd LockBit. De Volkskrant interviewt Patrick van Looy, forensisch expert bij Northwave.

“Op het moment dat we daar aankwamen begonnen we met het maken van een situatieschets: wat is er geraakt, hoe raakt het de bedrijfsomzet, zijn er back-ups? Kunnen we iets anders doen dan betalen?’ De servers bleken AES-256 versleuteld: dat kraken kost jaren. De back-ups waren niet compleet. “kortom, we moesten zo snel mogelijk de sleutel krijgen”.

Razendsnel 
In een mum van tijd had de gijzelsoftware het systeem overgenomen. Vrijdagnacht om 1 uur was de aanvaller in het netwerk geweest, daarna was in een paar uur alles versleuteld. Amper vijf uur later gaven alle computers het bericht af: all your files are encrypted by LockBit. LockBit was een tot nu toe onbekende gijzelsoftware. De experts van Northwave en McAfee hebben uitgebreid onderzoek gedaan naar deze nieuwe vorm van ransomware. De whitepaper voor een volledige beschrijving van het onderzoek is hier te downloaden.

Lockbit is niet zoals andere ransomware
Patrick van Looy legt uit dat het bijzondere van LockBit ‘m vooral zit in de manier waarop de software zich verspreidt. ‘Als hackers binnen zijn, gaan ze vaak handmatig het netwerk verkennen. Dat duurt weken. Waar zitten belangrijkste systemen? Waar zijn de back-ups? Het bijzondere aan LockBit is dat als je eenmaal beheerdersrechten hebt, de software zich automatisch verspreidt in het netwerk. Als een worm gaat het op zoek naar computers die worden geïnfecteerd.’

Na het bestuderen van de aanval kwam aan het licht dat de hackers het bedrijf binnen zijn gekomen via een verouderde VPN-dienst. Geautomatiseerd hadden de aanvallers  dagenlang wachtwoorden geprobeerd te kraken totdat het raak was. Met netwerkdetectie hadden die pogingen weliswaar gedetecteerd kunnen worden.

Bekijk het volledige bericht hier