Wat is LockBit?

Het academisch jaar is net begonnen en voor je het weet, is het weer de cybersecuritymaand oktober, het motto waarvan dit jaar is: “Wees slimmer dan een hacker!” (“Be smarter than a hacker!”). Ik realiseer me dat er vrij weinig IT-recht juristen en studenten IT-recht aan de Rijksuniversiteit Groningen zijn die nog niets hebben gehoord over LockBit. Toch weet men vaak helaas niet wat LockBit precies is en hoe we met deze digitale dreiging moeten omgaan.

Kort door de bocht is LockBit de gevaarlijkste en meest gebruikte “RaaS” oftewel “Ransomware-as-a-Service” die op de wereldwijde zwarte markt beschikbaar is. Deze schadelijke software wordt ontworpen, onderhouden en via verschillende fora van het “dark web” aangeboden door een team ontwikkelaars dat naar alle waarschijnlijkheid in Rusland is gevestigd. Het wordt gebruikt om IT-systemen te gijzelen door bestanden te versleutelen en door losgeld te vragen voor het ontsleutelen daarvan. Betaalt het slachtoffer niet, dan blijven zijn bestanden versleuteld en dus ontoegankelijk en komen de gehackte data op straat te liggen.

De infectie van de KNVB met LockBit van april van dit jaar heeft ertoe geleid dat een groot aantal bestanden door cybercriminelen werd buitgemaakt. Deze bestanden bevatten onder andere NAW- en salarisgegevens van spelers, hun handtekeningen en identiteitsbewijzen. Ofschoon de bond het geëiste losgeld uiteindelijk heeft betaald, is het niet met zekerheid te zeggen of de gestolen data niet verder zullen worden verspreid en de gevolgen van deze verspreiding voor zowel de betrokken personen als de KNVB zelf zijn moeilijk te overzien.

Hoe kom je eraan?

Iedereen die van LockBit gebruik wil maken, kan een “abonnement” op de diensten van LockBit nemen en daar computers en andere apparaten van anderen mee infecteren. Je moet wel goed aangeschreven staan binnen het (cyber)criminele circuit zodat je wordt aanbevolen als een potentiële klant of “affiliate” of een bepaald bedrag betalen om als zodanig te worden toegelaten. Affiliates moeten er trouwens zelf voor zorgen dat ze toegang tot IT-systemen van hun slachtoffers verkrijgen (denk aan bedrijven en onderwijs-, overheids- en zorginstellingen) om ze vervolgens met de LockBit-gijzelsoftware te kunnen besmetten.

Welke beschermingsmaatregelen kun je nemen?

Cybersecurity begint natuurlijk altijd bij jezelf. Dat klinkt als een mantra die ieder van ons dagelijks bij het ontwaken moet proberen te herhalen… en niet alleen op een regenachtige oktoberdag. Toch is het zo dat menselijke fouten vaak in cyberinbreuken resulteren. Maak het dus de LockBit-bende en andere criminelen niet te makkelijk om jou of jouw werkgever digitaal af te persen en een hoog bedrag afhandig te maken.

Er bestaat een tal van verplichtingen dat in dit verband op organisaties rust. Denk bijvoorbeeld aan de verplichting van zowel verwerkingsverantwoordelijken als verwerkers tot het treffen van passende technische en organisatorische maatregelen bij het verwerken van persoonsgegevens die in de Algemene verordening gegevensbescherming (AVG) is vastgelegd. Vergeet ook niet de zorgplicht van aanbieders van essentiële diensten en digitale dienstverleners om hun netwerk- en informatiesystemen te beveiligen onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) die wordt gewijzigd in verband met de implementatie van een nieuwe Europese richtlijn.

Wees ook zelf hackers te slim af. Klik nooit op links die je op onbekende websites of in spamberichten tegenkomt en meld spam bij Apple en Google. Open nooit bijlagen van e-mails van onbekende afzenders, download bestanden alleen van betrouwbare websites, gebruik VPN-diensten als je met onbeveiligde openbare WiFi-netwerken verbinding wil maken, gebruik nooit onbekende USB-sticks en andere onbekende opslagmedia en houd zowel je besturingssysteem als je applicaties up-to-date. Blijf waakzaam, blijf cyberveilig!