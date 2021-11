Volkskrant-verslaggever Huib Modderkolk interviewde via speciale software een leidende figuur in een criminele organisatie die gijzelsoftware maakt en verkoopt. Anoniem doet de man ‘100 procent eerlijk’ een doekje open over zijn werkwijze.

‘Wat wil je?’ Het eerste antwoord dat een van de criminele makers van gijzelsoftware LockBit in augustus aan de Volkskrant stuurt, klinkt niet heel vriendelijk.

De beruchte ransomwaregroep LockBit is sinds een update in juli naar LockBit 2.0 snel gegroeid. Betere en snellere versleuteling, dubbele afpersing, een chat-ruimte met pushmeldingen. Het offline gaan van concurrent REvil speelde de groep verder in de kaart: LockBit zit momenteel achter een derde van de wereldwijde infecties met gijzelsoftware. Ze verdienen er tientallen miljoenen euro’s mee.

Het aantal infecties door LockBit in Nederland neemt ook toe, hoewel het lastig is daar cijfers op te plakken. Bedrijven spreken er liever niet over. Via een Nederlands slachtoffer, dat met LockBit onderhandelt over het losgeld, krijgt de Volkskrant in september een chat-ID in handen van een van de makers. Daarmee is het mogelijk om met speciale software contact op te nemen. Of de persoon antwoordt, is onzeker.

LockBitSupp heet het account en de persoon die erachter schuilgaat zou een professionele hacker en crimineel zijn. De persoon heeft in oktober gesproken met een voormalige Russische hacker die voor de nieuwswebsite The Cyber Post werkt. LockBitSupp is een kop van de slang, in opsporingstermen. Pim Takkenberg van Northwave, die bedrijven bijstaat na een aanval met ransomware: ‘LockBit is een van grootste en meest succesvolle criminele groepen. LockBitSupp heeft veel technische kennis over de werkwijze van de groep. Ik twijfel er niet aan dat hij een hoge positie bekleedt en een serieuze crimineel is.’

Na wat eerste korte reacties, antwoordt de hacker vriendelijker. Hij wil best vragen beantwoorden, maar is ook bezig met een volgende update van LockBit. ‘Ik zal antwoorden als ik tijd heb. Druk, sorry.’

Na drie maanden onregelmatig contact, stuurt hij op een dag in november ineens een uitgebreide reactie. Zijn verhaal geeft een indruk van de leef- en denkwijze van een moderne crimineel. Of hij daarin eerlijk is? ‘100 procent eerlijk’, zegt hij er zelf over. Of dat zo is, valt onmogelijk te verifiëren. De man is anoniem en houdt zich schuil voor westerse opsporingsdiensten.

LockBitSupp is naar eigen zeggen al sinds 1994 actief als hacker. Hij is geboren in de voormalige Sovjet-Unie, waarschijnlijk in Rusland, en heeft een universitaire opleiding programmeren gedaan. Hij spreekt vijf talen: Russisch, Engels, Chinees, Arabisch en Duits. Hij stal eerder bank- en creditcardgegevens van westerse klanten. Op sommige vragen wil hij geen antwoord geven. Die komen te dichtbij. Of hij bijvoorbeeld Jevgeni Bogatsjov kent, een beruchte Russische internetcrimineel die een groot imperium bouwde en bescherming geniet van de Russische veiligheidsdiensten? ‘Je stelt te incorrecte vragen.’ Of hij samenwerkt met een ontwikkelaar van de ransomwaregroep CTB Locker? ‘Ben je aan het speuren?’

Als opsporingsdiensten eind oktober verschillende leden van een andere ransomwaregroep in Oekraïne arresteren, reageert LockBitSupp uitgelaten. ‘Goed. Goed zo. Ga aan het werk broeders. Elimineer al mijn concurrenten!’ Leden die gepakt worden zijn ‘beginnelingen’ in zijn ogen. Hijzelf werkt een stuk professioneler, zegt hij.

Wat is je functie?

‘Leider en organisator van een georganiseerde criminele groepering.’

Hoe ziet je dag eruit?

‘Ochtend: 10 kilometer rennen met gewichten. Ontbijt. Naar het fitnesscentrum. Werken. Bedrijven aanvallen, rekruteren, geld witwassen. Lunch. Opnieuw werken.

‘Als er niet veel werk meer is, entertainment. Geld uitgeven aan modellen van OnlyFans en Instagram, helikoptervluchten, racen in de stad en op het circuit in een Lamborghini Urus, lopen op mijn boot.’

Hoe kies je de affiliates, de leden, om mee samen te werken?

‘Door constructieve dialoog en testen.’

Hoeveel commissie vragen jullie?

‘Niet veel en een gemiddeld percentage, zo’n 20 procent.’

Hoeveel tijd zit er tussen het planten van de software – de infectie – en het uitrollen van de gijzeling?

‘Van een uur tot twee maanden.’

Hij is een van de ‘oprichters’ van LockBit, dat ontstond in september 2019. Twee maanden later volgden de eerste infecties. Inmiddels zijn het er vele duizenden, in talloze landen. In het begin koos de groep enkel geselecteerde doelwitten, tegenwoordig schiet ze met hagel. Het bijzondere aan LockBit is dat het – als de hackers eenmaal toegang hebben tot een bedrijf – automatisch een netwerk kan versleutelen. ‘Heel makkelijk als je iets van programmeren weet.’

LockBit wordt verkocht aan affiliates als een service via fora op het dark web, het deel van internet dat je met de anonieme Tor-browser kunt bereiken. Niet elke groepering mag LockBit gebruiken. Nieuwe leden moeten zichzelf bewijzen door technische tests of een goede staat van dienst hebben.

De affiliates lijken niet hoog in aanzien te staan. Als enkele REvil-leden in november door Europol en de FBI worden gepakt, zegt LockBitSupp dat het ‘domme tieners’ zijn. ‘Het maximale wat opsporingsdiensten kunnen doen is een affiliate pakken. Weinig mensen geven om hun anonimiteit. Ze hebben een beperkte manier van denken. Ze weten alleen hoe ze een bedrijf moeten binnenkomen. Ik ben een expert op alle gebieden.’

Hoe kiezen jullie slachtoffers?

‘We kiezen niet. We vallen iedereen aan die we kunnen pakken.’

Wat maakt jullie zo succesvol?

‘De zwaktes (van slachtoffers, red.), eer en moed. We vallen op verschillende manieren aan. Het Remote Desktop Protocol (waarmee het mogelijk is om op afstand toegang te krijgen tot een computer, een bekende zwakke plek in organisaties, red.) is niet heel belangrijk voor ons.’

Door de enorme maatschappelijke impact is ransomware onderwerp van geopolitieke spanningen geworden. Westerse landen vinden dat Rusland te weinig doet tegen de criminele makers die zich in dat land schuil houden en verrijken. Soms zouden de Russische veiligheidsdiensten met bepaalde criminelen samenwerken. In ruil voor het verzamelen van inlichtingen zou Rusland hackers met rust laten. LockBit controleert na een infectie het IP-adres van het slachtoffer, waaruit de geografische locatie van de computer blijkt. Bevindt dat zich in een land dat bij de voormalig Sovjet-Unie hoort, dan wordt het bedrijf niet afgeperst.

Klopt het dat jullie de locatie van een slachtoffer controleren?

‘Ja, dat is een erecode. Je kunt je eigen natie niet aanvallen. Ik ben geboren in de Sovjet-Unie.’

Werk je samen met veiligheidsdiensten?

‘Nee, we werken niet voor ze. Veiligheidsdiensten doen niet aan afpersing.’

Hoe blijf je uit handen van opsporingsdiensten?

‘Door de regels van anonimiteit te volgen: ik gebruik satellietinternet, geregistreerd met een valse identiteit en met de originele software aangepast, wat me in staat stelt om de echte locatie te veranderen ten opzichte van GPS-satellieten. Heel comfortabel om satellietinternet te hebben op mijn boot.’

Hij monitort zijn internetverkeer en gebruikt een hardware firewall. ‘Dus als ik ongebruikelijke activiteit zie, weet ik dat er een hack is.’ Hij krijgt ‘talloze persoonlijke berichten’ met linkjes daarin in de hoop dat hij er vanaf zijn persoonlijke laptop op klikt zodat hij zijn IP-adres verraadt aan de opsporingsdiensten. ‘Sukkels’, noemt hij de mensen die het proberen. Hij wil weinig loslaten over zijn persoonlijke situatie en hoeveel hij verdient (‘geld is gebaat bij stilte’), maar vertelt wel dat hij in China woont. Hij hint op Hongkong. Dat lijkt verrassend: de meeste grote criminele hackers houden zich schuil in Rusland.

China? Andere LockBit-hackers zitten in Rusland.

‘Mijn partners zitten over de hele wereld, zelfs in de Verenigde Staten. China is heel goed. Ze leveren niet uit aan de Verenigde Staten. In Hongkong is één op de zeven inwoners miljonair. Als ik een miljonair ben, waar kan ik dan het beste zijn? Het makkelijkste is om op te gaan in een menigte van miljonairs.’