De ransomwaregroep LockBit, jarenlang gevreesd vanwege zijn meedogenloze aanvallen, is zelf het doelwit geworden van een opvallende hack. Hackers hebben een database met bijna 60.000 Bitcoin-adressen van de groep gelekt – en lieten er een duidelijke boodschap bij achter: “Don’t do crime. CRIME IS BAD. xoxo from Prague.”

Ransomwarebende krijgt koekje van eigen deeg

De aanval richtte zich op het zogeheten affiliatepanel van LockBit – een soort controlecentrum waarmee de groep zijn aanvallen coördineert. Via een MySQL-dump werd een database openbaar gemaakt met onder andere:

• tienduizenden Bitcoin-adressen die gelinkt zijn aan losgeldbetalingen,
• een “builds”-tabel met aangepaste versies van LockBit-ransomware,
• een “chats”-tabel met meer dan 4.400 gesprekken tussen slachtoffers en criminelen.

Hoewel er géén privésleutels zijn gelekt (de sleutels die je toegang geven tot het geld), is de hoeveelheid data alsnog een goudmijn voor opsporingsdiensten en blockchain-onderzoekers.

Wat heeft dit met crypto te maken?

Bij ransomware-aanvallen wordt vaak losgeld geëist in Bitcoin of andere cryptovaluta. Elk slachtoffer krijgt een eigen walletadres toegewezen. Op die manier kunnen criminelen betalingen volgen, zonder dat hun eigen identiteit direct zichtbaar is. Maar met deze datalek is die anonimiteit deels verdwenen.

Blockchain-analisten kunnen nu veel eenvoudiger patronen herkennen en eerdere betalingen koppelen aan bekende wallets – wat opsporing en vervolging een flinke zet in de rug geeft.

Wie zit er achter deze tegenaanval?

Dat is nog onduidelijk. Wel lijkt de boodschap van de hackers sterk op die van een eerdere aanval op de Everest-ransomwaregroep. Mogelijk is dit onderdeel van een bredere wraakcampagne, waarbij cybercriminelen hun eigen wapens tegen zich krijgen.

Waarom dit belangrijk is

LockBit wordt al jaren gelinkt aan miljarden euro’s aan schade, van ziekenhuizen tot overheidsinstellingen. In februari 2024 werkten tien landen samen om het netwerk te ontmantelen, maar blijkbaar was de groep nog niet helemaal uitgeschakeld.

Deze nieuwe hack laat zien hoe kwetsbaar ook georganiseerde cybercriminelen kunnen zijn – en hoe transparantie op de blockchain uiteindelijk kan helpen om de puzzelstukjes aan elkaar te leggen.