I tisdags morse fick grupperingen bakom gisslanprogrammet Lockbit en besk kaka till kaffet när de fick se sin dark web-sajt hackad – av polisen. Meddelandet som lagts upp proklamerade att sajten tagits över av brittiska National Crime Agency i samarbete med en rad andra länders polismyndigheter i insatsen ”Operation Cronos” och att mer skulle följa.
Och det som följde var en otrolig uppvisning i vad som bara kan beskrivas som regelrätt trollande från polismyndigheternas sida.
12:30 på onsdagen skickade pressreleaserna ut från Europol, svenska polisen, britterna, amerikanerna, ja alla inblandade. Lockbit, den dominerande ransomware-varianten i världen, hade neutraliserats. Infrastrukturen hade tagits över, gripanden hade gjorts, åtal lämnats in och verktyg för avkryptering tagits fram.
Men samtidigt som vi i media läste pressmeddelanden hände det riktigt roliga på dark web.
Polisen hade inte bara hackat och tagit över Lockbits sajt, de hade också, för att riktigt trycka till gruppen, gjort om hela sajten i Lockbits egen stil. Sajten var uppbyggd som en julkalender, där de olika utpressningsoffren listades med datum och nedräkning tills det att data skulle börja läckas. Men nu var offren ersatta med en nedräkning till vad som skulle hända i ”Operation Cronos” istället:
20 februari: Sanktioner läggs fram
21 februari: Information om Lockbits datastöldsverktyg publiceras
21 februari: Lockbits samarbetsnätverk avslöjas
22 februari: En analys av mjukvaran presenteras
22 februari: Lockbits metoder beskrivs
23 februari: Information om Lockbits ekonomi avslöjas
23 februari: Lockbits administratörer demaskeras
Och så vidare. Här kan du se en bild på hur det såg ut. Det var så bra gjort att en av de botar på Twitter/X som håller koll på och postar alla uppdateringar från ransomwaregängens dark web-sajter gick på det och körde ut det som vilket ransomware-skryt som helst.
”Vi har hackat hackarna”, sa National Crime Agencys chef Graeme Biggar vid en presskonferens, och det är väl just det som polismyndigheterna ville illustrera och understryka med det något udda, men sanslöst fräcka, tillvägagångssättet. Man vill visa musklerna och visa vad man kan, samtidigt som man får ut sitt budskap i exakt rätt kretsar. Infosäk-Twitter nådde kokpunkten snabbt och har inte slutat bubbla än.
Uppvisningen på dark web är bara en liten del i en mycket imponerande polisinsats som av allt att döma levererat spiken i kistan för den mest notoriska ransomware-verksamheten i världen det senaste året, som enligt bedömare stått för så mycket som en fjärdedel av alla ransomwareangrepp på sistone.
Vilken effekten i stort blir av operationen återstår förstås att se, ransomware tenderar att föröka sig och fortsätta sprida sig som ogräs. Det enda som kan stoppa ransomware-vågen definitivt är att företag och organisationer helt slutar att betala lösensummorna, men dit har vi tyvärr ännu en bit kvar.
Tills dess är det ändå förtroendeingivande att vi har polismyndigheter världen över som uppenbart vet vad de sysslar med.
—
Den här krönikan är hämtad ur CS Veckobrev, ett personligt nyhetsbrev med lästips, länktips och analyser skickat direkt från chefredaktör Marcus Jerrängs skrivbord. Vill du också ha nyhetsbrevet på fredagar? Skriv upp dig för en kostnadsfri prenumeration här.