Berättelsen om Lockbits uppgång, fall – och återuppståndelse

Bild: Cisco

Den ökända ransomwaregruppen Lockbit stängdes ner av myndigheter efter en internationell polisoperation tidigare i år. Men glädjen blev kortvarig – och den snabba återkomsten sätter fingret på nya utmaningar i kampen mot cyberbrottsligheten. Det hävdar Cisco som i här beskriver ransomwaregruppens uppgång, fall – och återuppståndelse.

 

När den cyberkriminella organisationen Lockbit raidades av FBI i februari 2024 drog många företag och organisationen världen över en lättnadens suck. Gruppens ransomware har enligt CISA varit den vanligast förekommande mjukvaran i cyberattacker de senaste åren, och dessutom kombinerat datakidnappningen med stöld och utpressning av känsliga data i stor skala. Gruppen står ensamma för mer än en fjärdedel av alla dataläckor som publicerades under 2022 och 2023 på olika dark web-sajter och beräknas ha vållat skador till ett värde av tiotals miljarder kronor på bara några år.

Bara i Sverige har ett 20-tal polisutredningar gjorts där företag och organisationer drabbats av gruppens ransomware.

Därför har Lockbits aktivitet och höga profil har naturligtvis gjort gruppen till en prioriterad måltavla för rättsväsendet. En gemensam operation som leddes av FBI och USA:s cybersäkerhetsmyndighet NCA, där ytterligare nio länder- däribland Sverige och Finland - bidrog med expertis och resurser, inleddes. Man lyckades till slut ta sig nära gruppen och infiltrera dess nätverk. Den 20 februari i år hackades hackarna själva; Lockbits hemsidor och administrationsmiljö togs över och under de följande dagarna greps flera medlemmar och hundratals konton för kryptovaluta frystes.

Det stoppade verksamheten – i en vecka. Den tredje mars startade Lockbit en ny hemsida på darkweb där man började publicera stulen information – i flera fall information som måste ha stulit efter polisoperationen.

En förklaring till hur det gick så lätt är att Lockbit arbetar enligt ett franchisesystem som påminner mycket om restaurang- eller butikskedjor. Begreppet ”ransomware-as-a-service” innebär att man tillgängliggör sina program och sin expertis till andra grupper eller individer.

Cisco Talos, som är Ciscos organisation för cyberhotforskning, har också uppgifter om att Lockbit nu börjat ta in nya franchisetagare i gruppen.

”Moderna ransomwaregrupper innebär en omskakande utmaning för samhället. När rättsväsendet lyckas stoppa en motståndare är segern ofta kortlivad. De verkliga ledarna för organisationen agerar i det fördolda och när en medlem faller kan två nya stiga upp för att ta dess plats. Polisoperationen har kanske stört Lockbits verksamhet tillfälligt, man har beslagtagit värdefulla resurser, och ett fåtal franchisetagare sitter nu i fängelse.”, skriver Thorsten Rosendahl, säkerhetsforskare på Cisco Talos.

När Cisco Talos i slutet av 2020 intervjuade ”Aleks”, en anonym representant för Lockbit, i forskningssyfte förklarade hen hur franchiseupplägget fungerar i praktiken. De organisationer som hyr skadlig programvara av Lockbit förbinder sig också att betala en procent på de första fem angreppen. De förbinder sig också att följa organisationens ”etiska kod” när det gäller utpressning, exempelvis regler för hur stora summor man ska avkräva och hur man agerar när offret betalat lösensumman.

Att sälja skadeprogram som tjänst har varit en snabbt växande trend de senaste åren, visar Cisco Talos forskning. Det innebär flera utmaningar i kampen mot de kriminella organisationerna. Framgångsrika kriminella grupper kan hyra ut sin kod som en ”pensionsförsäkring” och själva dra sig tillbaka. När många små organisationer och individer får tillgång till avancerad mjukvara blir det också svårare för rättsväsendet att spåra var attacken kommer ifrån, och svårare för försäkringstagare att få ersättning.

Men svårigheterna är inte en anledning till att ge upp, slår Thorsten Rosendahl fast:

”Det kommer att krävas kontinuerligt, strategiskt arbete för att på ett påtagligt sätt skada ransomware-as-a-service-aktörerna och försvaga återväxten i dessa gäng. Att gripa de verkliga ledarna är en viktig del av det. I fallet Lockbit, verkar de som att gruppens ledare har lyckats undvika rättvisan – den här gången.”

Text: Cisco