De jacht op 's werelds grootste ransomwarecrimineel die 100 miljoen euro verdiende

Soms is de werkelijkheid spannender dan een film. FHM reconstrueert een spectaculaire cyberaanval die duizenden bedrijven platlegde. De Russische hackersgroep die achter de aanval zat, LockBit, maakt al jaren over heel de wereld slachtoffers en verdient daar honderden miljoenen mee. Een van die slachtoffers was de KNVB. LockBits 32-jarige oprichter en baas Dmitry Khoroshev is voortvluchtig. Hij zwemt in het geld en omringt zich op zijn superjacht met vrouwen, zegt hij.

In een klein plaatsje in Zuid-Frankrijk wordt IT’er Mathieu Mayol in de nacht van 8 december 2023 uit zijn bed gebeld. Een collega uit de nachtdienst meldt dat de servers raar doen. Mayol werkt voor Coaxis, een tamelijk onbekend, middelgroot, Frans IT-bedrijf dat gevoelige data host voor duizenden klanten zoals advocatenkantoren, medische laboratoria, accountantskantoren, uitzendbureaus, landbouwbedrijven. Als de serverproblemen niet worden opgelost voordat de werkdag begint, kunnen zij geen e-mails, agenda’s en bestanden inzien; ze zouden platliggen.

Mayol wrijft de slaap uit zijn ogen, logt in op zijn computer en ziet hoe de ene na de andere server uitvalt. Foute boel. Hij stapt zijn auto in en rijdt in het donker over onverlichte landweggetjes naar het datacentrum, tevens hoofdkantoor. Ook Coaxis-directeur Joseph Veigas is gekomen, die door Mayol op de hoogte was gebracht. Als die de serverruimte betreedt, voelt hij “een nare energie”. De twee inspecteren de systemen en treffen een onbekend tekstbestand aan: ‘!!!-Restore-My-Files-!!!.txt’.

“Jullie data zijn gestolen en versleuteld. Als je geen losgeld betaalt, publiceren we het (...). We hebben geen politieke motieven, we zijn alleen geïnteresseerd in geld. (...) Don’t go to the police, ze kunnen niets voor je betekenen, het zal er alleen maar erger op worden.”

Erbij instructies hoe Coaxis 5 miljoen dollar aan Bitcoin moet betalen.

Zo’n aanval heet een ransomware attack: hackers dringen het systeem binnen en stelen data of versleutelen die, zodat het slachtoffer er niets meer mee kan. Tegen betaling worden de data weer ontsleuteld of teruggegeven. Een soort gijzeling, dus. Betaalt het slachtoffer niet, dan maken ze de data openbaar of verkopen ze het op het dark web aan andere kwaadwillenden.

Coaxis schakelt Orange Cybersecurity in, een internationaal opererend, Frans cybersecuritybedrijf. Zij proberen de aanval te stoppen en de schade te beperken — waarover straks meer. Even bespreekt de Coaxis-directie of ze het losgeld gaan betalen, maar al snel wordt besloten dat niet te doen.

In Nederland kwam Odido recent in het nieuws toen bekend werd dat ze slachtoffer waren geworden van een ransomware attack. Odido weigerde het losgeld te betalen. Daarop maakten de hackers de buitgemaakte data openbaar en kwamen privégegevens van 6,2 miljoen (oud-)klanten van Odido op straat te liggen. In 2023 werd de KNVB slachtoffer van een ransomware-aanval. De voetbalbond betaalde wél, uit angst dat onder meer de adressen en salarisgegevens van profvoetballers openbaar gemaakt zouden worden.

Coaxis kan het zich min of meer veroorloven om niet te betalen: ze hebben goede backups van hun data en komen erachter dat er geen bestanden van hun servers zijn gedownload. Wel moeten ze hun hele IT-systeem opnieuw opbouwen. Als ze dat niet zouden doen, blijven de kwetsbaarheden in hun netwerk bestaan en zouden de aanvallers gewoon hetzelfde trucje nog eens kunnen uithalen.

De digitale verbouwing duurt weken. Weken waarin Coaxis’ klanten geen toegang tot hun data hebben. Dat betekent dat ze hun medewerkers niet kunnen betalen, en het is bijna kerst. Steeds meer klanten bellen Veigas en eisen een oplossing. “De toon in die belletjes werd… vijandig.”

De Coaxis-hack legt duizenden directe klanten van Coaxis plat. 350 duizend bedrijven ondervinden indirect hinder van de hack.

Onderzoekers van Orange Cyberdefense ontdekken al gauw dat LockBit achter de aanval op Coaxis zit. LockBit is een Russische hackersgroep met een verrassend eenvoudig franchisemodel. Een kernteam ontwikkelt de software waarmee zo’n gijzeling kan worden uitgevoerd. LockBit licenseert die software aan honderden hackers (‘affiliates’) die zelf hun slachtoffers kiezen en de aanval plegen. Als er losgeld wordt betaald, gaat twintig procent daarvan naar het kernteam en tachtig naar de franchisenemer.

Omdat de pakkans laag is, de marges groot en de software al gemaakt is, zijn er al gauw een paar honderd affiliates die vele - véle - bedrijven aanvallen. Ook organisaties die verantwoordelijk zijn voor kritieke infrastructuur, zoals ziekenhuizen en energiemaatschappijen, worden slachtoffer van LockBit.

LockBit, dat voor het eerst opdook in 2019, groeit uit tot de meest effectieve en gevreesde ransomware-groepering ter wereld. Op hun hoogtepunt wordt hun software bij 4 op de 10 ransomware-aanvallen gebruikt. De groep verdiende er ten minste een half miljard dollar aan.

Aan die hegemonie komt in het voorjaar van 2024 een voorlopig einde.

Ondanks de waarschuwing, doet Coaxis toch aangifte. Op dat moment loopt al een groot, internationaal opsporingsonderzoek naar LockBit. De Britse National Crime Agency leidt het onderzoek, waaraan ook de FBI, Europol, de Nederlandse politie en politiediensten uit nog zes andere landen meedoen. Ze noemen het ‘Operatie Cronos’.

Dat leidt tot een grote ‘verstoringsactie’ op 20 februari 2024. De diensten halen 34 servers van LockBit uit de lucht (waarvan 13 in Nederland), nemen de digitale infrastructuur van LockBit over, bevriezen 200 crypto-wallets, sluiten 14 duizend LockBit-affiliate-accounts af en houden twee mensen aan die hoog in de boom zitten.

De grote baas blijft uit handen van de opsporingsdiensten. Die maken wel zijn identiteit openbaar, waar tot op dat moment niets over bekend was. Een beloning van 10 miljoen dollar wordt uitgeloofd voor de tip die tot zijn aanhouding leidt. De VS hebben hem aangeklaagd voor onder meer voor fraude en afpersing.

De vermeend ‘oprichter en hoofdontwikkelaar’ van LockBit zou een nu 32-jarige Rus zijn genaamd Dmitry Khoroshev.

Khoroshev zal zich door de actie ongetwijfeld in zijn kuif gepikt hebben gevoeld, al laat hij dat niet blijken. In een bericht aan zijn affiliates schrijft hij:

“Ik was nalatig geworden. Dat gebeurt nu eenmaal als je vijf jaar lang zwemt in het geld en op een jacht hangt met titsy girls [sic].

(…) Het is moeilijk om gemotiveerd te blijven werken als je al honderden miljoenen dollars hebt. Wat mij motiveert, is een sterke tegenstander. (…) Ik ben blij dat de FBI mij nieuwe energie heeft gegeven.”

Khoroshev prijst de cyberspecialist die erin slaagde LockBits systeem binnen te dringen:

Hoewel Dmitry Khoroshev eerder heeft beweerd in Nederland te wonen, en ook in de VS, zijn de opsporingsdiensten er zeker van dat hij zich in Rusland begeeft. Waarschijnlijk houdt het Kremlin hem de hand boven het hoofd: Rusland levert nooit Russische verdachten uit aan andere landen en staat erom bekend hackers in eigen land met rust te laten zolang die Westerse slachtoffers maken en geen Russische.

Vóór deze klopjacht wisten journalisten Huib Modderkolk (voor de Volkskrant) en Daniël Verlaan (voor Videoland-serie Ik weet je wachtwoord) Khoroshev te spreken te krijgen. Daar lijkt het althans op, ze kunnen onmogelijk zeker weten dat Khoroshev aan de andere kant van de lijn zat. Beiden vroegen hem hoe zijn dagen er zoal uitzien. Zijn antwoord (samengevoegd):

“’s Ochtends tien kilometer rennen met gewichten. Dan ontbijt, naar de fitness en werken: bedrijven aanvallen, rekruteren, geld witwassen. Dan lunch. Meer werken. Als er niet veel werk meer is: entertainment. Geld uitgeven aan OnlyFans- en Instagram-modellen en premium hoeren. Ik vlieg in mijn helikopter, race in mijn Lamborghini Urus en hang op mijn boot.”

Voor wat het waard is. Dat hij zwemt in het geld lijkt in elk geval geen grootspraak. Volgens de Amerikaanse justitie heeft Khoroshev door de jaren heen “ten minste 100 miljoen dollar verdiend”.

Khoroshev mag dan mogelijk ergens lekker ronddobberen op zijn jacht (het zuid-Siberische Baikalmeer schijnt prachtig te zijn, en diep genoeg voor superjachten), LockBit is wel degelijk verzwakt door Operatie Cronos. Twee derde van zijn affiliates zijn vertrokken, het aantal aanvallen met LockBit-software is volgens Britse autoriteiten met zeventig procent afgenomen. Maar het aantal slachtoffers van ransomware in Europa is met bijna twintig procent toegenomen. Andere ransomwaregroeperingen zijn twee, drie keer zo groot geworden. De dreiging is dus niet afgenomen, maar verschoven.

“Voor elke kop van de slang die je eraf hakt, groeien twee nieuwe terug.” FHM spreekt drie cybersecurityexperts van Orange Cyberdefense Nederland, kort na de première van een documentaire over randsomware-aanvallen die Orange Cyberdefense liet maken: Don’t go to the police. De drie waren niet bij de Coaxis-zaak betrokken, dat waren hun Franse collega’s, maar hebben vaak genoeg LockBit-aanvallen bestreden.

Saskia Kuschke is een van hen. Ze is moe, zegt ze. “Ik zit middenin een zaak en heb al drie dagen niet geslapen.” Kuschke is technical team lead van het Incident Response-team. Dat betekent dat je haar belt als je wordt aangevallen, en dan komt ze gelijk, al is het midden in de nacht. “De eerste uren zijn cruciaal. Vergelijk een cyberaanval met een brand. Wij zijn de brandweer. Als eerste proberen we de brand onder controle te krijgen, te voorkomen dat het vuur zich verder verspreidt. Dat kan betekenen dat we systemen isoleren van elkaar, of dat we - in een uiterst geval - een netwerk afsluiten van de buitenwereld.”

“Belangrijk ook, in die eerste uren, is om erachter te komen hoe de aanvaller binnen is gekomen. Het is zaak om die weg zo snel mogelijk af te sluiten, mogelijk volgt namelijk een tweede aanval. De klok tikt, in elk geval.”

Orange Cyberdefense treedt nooit in contact met hackers en betaalt geen losgeld. Kuschke: “Je weet nooit of na betaling de kous af is. Je hebt geen enkele garantie dat zij - of een andere groep - je volgende week niet weer aanvallen. Sterker nog: wie betaalt, maakt zichzelf een aantrekkelijker doelwit, want je toont je bereid en vermogend genoeg om losgeld te betalen. Nog een nadeel: En je sponsort in feite de volgende aanval van zo’n criminele organisatie."

We vragen Kuschke naar Khoroshev, de man waar ze het - indirect - nu al jaren tegen opneemt, de grootste ransomwarecrimineel ter wereld. Volgt ze de klopjacht op hem? Leest ze de berichten over hoe hij zijn dagen doorbrengt?

“Nee. Ik ben wel altijd blij als criminelen verantwoordelijk gehouden worden voor hun daden. En ik wil alles weten over LockBits modus operandi, hoe de software precies werkt die ze gebruiken. Maar de mens achter LockBit interesseert me niet. Het is een crimineel zoals alle anderen. Ze worden gedreven door hebzucht en geven hun geld aan auto’s uit — whatever.”