De Britse National Crime Agency (NCA) heeft de beheerder en ontwikkelaar van de LockBit-ransomware ontmaskerd en onthuld dat hij een 31-jarige Russische staatsburger is genaamd Dmitry Yuryevich Khoroshev.
Bovendien is Khoroshev bestraft door het Foreign, Commonwealth and Development Office ( FCD ) van het Verenigd Koninkrijk, het Office of Foreign Assets Control ( OFAC ) van het Amerikaanse ministerie van Financiën en het ministerie van Buitenlandse Zaken van Australië.
Europol zei in een persbericht dat de autoriteiten in het bezit zijn van meer dan 2.500 decoderingssleutels en contact blijven opnemen met LockBit- slachtoffers om ondersteuning te bieden.
Khoroshev , die zichzelf LockBitSupp en putinkrab noemde , is ook onderworpen aan een bevriezing van tegoeden en een reisverbod, en aan het Amerikaanse ministerie van Buitenlandse Zaken . biedt een beloning van maximaal $ 10 miljoen aan voor informatie die leidt tot zijn arrestatie en/of veroordeling.
Eerder had het bureau beloningsaanbiedingen aangekondigd van maximaal $ 15 miljoen voor het zoeken naar informatie die zou leiden tot de identiteit en locatie van de topleiders van de LockBit-ransomwarevariantgroep , evenals naar informatie die zou leiden tot de arrestatie en/of veroordeling van leden van de groep .
Tegelijkertijd heeft het ministerie van Justitie een aanklacht van 26 aanklachten tegen Khoroshev openbaar gemaakt , waaronder één aanklacht wegens samenzwering tot het plegen van fraude, afpersing en computeractiviteiten; één aanklacht wegens samenzwering om draadfraude te plegen; acht tellingen van opzettelijke schade aan een beschermde computer; acht gevallen van afpersing met betrekking tot vertrouwelijke informatie op een beveiligde computer; en acht gevallen van afpersing in verband met schade aan een beschermde computer.
In totaal staat op de aanklachten een maximumstraf van 185 jaar gevangenisstraf . Op elk van de aanklachten staat ook een geldboete die groter is dan $ 250.000 , geldelijke winst voor de overtreder of geldelijke schade voor het slachtoffer.
Met de laatste aanklacht zijn in totaal zes leden die betrokken zijn bij de LockBit-samenzwering aangeklaagd , waaronder Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov en Ivan Gennadievich Kondratiev.
“De aankondiging van vandaag slaat opnieuw een grote nagel in de doodskist van LockBit en ons onderzoek ernaar gaat door ” , aldus NCA-directeur-generaal Graeme Biggar. “We richten ons nu ook op aangesloten bedrijven die de diensten van LockBit hebben gebruikt om verwoestende ransomware-aanvallen uit te voeren op scholen, ziekenhuizen en grote bedrijven over de hele wereld . “
LockBit , een van de meest productieve ransomware-as-a-service ( RaaS ) -groepen , werd begin februari verwijderd als onderdeel van een gecoördineerde operatie genaamd Cronos . Er wordt geschat dat het wereldwijd meer dan 2.500 slachtoffers heeft aangevallen en meer dan een half miljard dollar aan losgeld heeft ontvangen .
“LockBit-ransomware is gebruikt tegen Australische, Britse en Amerikaanse bedrijven, goed voor 18% van het totale Australische ransomware-incidenten gerapporteerd in 2022-2023 en 119 slachtoffers gerapporteerd in Australië ” , aldus Penny Wong, minister van Australische Buitenlandse Zaken.
Volgens het RaaS – bedrijfsmodel geeft LockBit zijn ransomwaresoftware in licentie aan aangesloten bedrijven in ruil voor een korting van 80% op het betaalde losgeld . De elektronische misdaadgroep staat ook bekend om zijn dubbele afpersingstactieken, waarbij gevoelige gegevens uit de netwerken van slachtoffers worden gehaald voordat computersystemen worden gecodeerd en losgeld wordt geëist.
Khoroshev , die LockBit rond september 2019 oprichtte, zou de afgelopen vier jaar minstens $ 100 miljoen aan uitbetalingen hebben gedaan als onderdeel van het plan.
In een interessante wending heeft de aanklager Khoroshev en zijn mede-samenzweerders er ook van beschuldigd LockBit tegen meerdere Russische slachtoffers in te zetten , waarbij hij beweerde dat de verdachte identificatiedocumenten eiste van gerekruteerde aangesloten bedrijven, en daarna zelfs contact opnam met de politie over de ontmanteling om informatie over de identiteit te verstrekken van zijn RaaS- concurrenten .
“De werkelijke impact van de criminaliteit van LockBit was tot nu toe onbekend, maar uit gegevens verkregen uit zijn systemen bleek dat tussen juni 2022 en februari 2024 meer dan 7.000 aanvallen werden geconstrueerd met behulp van zijn diensten”, aldus de NCA . “De vijf meest getroffen landen waren de Verenigde Staten, Groot-Brittannië, Frankrijk, Duitsland en China” .
De pogingen van LockBit om weer boven te komen na wetshandhavingsacties zijn op zijn best niet succesvol geweest, waardoor het oude en nep-slachtoffers op zijn nieuwe site voor datalekken heeft geplaatst.
“LockBit heeft een nieuwe leksite gecreëerd waar het de schijnbare activiteit heeft opgeblazen door slachtoffers te plaatsen die zijn aangevallen voordat de NCA in februari de controle over haar diensten overnam, en door de eer op te eisen voor aanvallen die zijn uitgevoerd met andere vormen van ransomware”, aldus het agentschap . ” De groep heeft de afgelopen twee maanden geprobeerd zichzelf weer op te bouwen, maar […] ze werken momenteel met een beperkte capaciteit en de mondiale dreiging van LockBit is aanzienlijk verminderd . “
Er wordt geschat dat het RaaS -plan op 24 februari 194 aangesloten bedrijven omvatte , waarvan 148 aanvallen bedachten en 119 onderhandelingen over losgeld met de slachtoffers begonnen.
“Van de 119 die in onderhandeling zijn gegaan, zijn er 39 die nooit losgeld lijken te hebben ontvangen ” , aldus de NCA . ” Vijfenzeventig zijn geen onderhandelingen begonnen, dus het lijkt erop dat zij ook geen losgeld hebben ontvangen . “
Het aantal actieve LockBit -filialen is sindsdien gedaald tot 69, volgens de NCA , die eraan toevoegde dat LockBit de gestolen gegevens niet systematisch verwijderde nadat het losgeld was betaald en dat het talloze gevallen ontdekte waarin de aan de slachtoffers verstrekte decryptor niet werkte zoals verwacht. Was verwacht.
“Als centrale leider van de LockBit-groep en ontwikkelaar van de LockBit-ransomware heeft Khoroshev verschillende operationele en administratieve rollen vervuld voor de cybercriminele groep en heeft hij financieel geprofiteerd van de LockBit-ransomware-aanvallen ” , aldus het Amerikaanse ministerie van Financiën.
“Khoroshev heeft de upgrade van de infrastructuur van LockBit gefaciliteerd, nieuwe ransomware-ontwikkelaars gerekruteerd en LockBit-filialen beheerd. Hij is ook verantwoordelijk voor de inspanningen van LockBit om de activiteiten voort te zetten na de stopzetting ervan door de VS en zijn bondgenoten eerder dit jaar.”
Dmitry Khoroshev genoemd als vermeende leider van ransomwarebende LockBit
De National Crime Agency zegt dat het de Russische onderdaan achter een gevaarlijke cybercriminaliteitsgroep heeft geïdentificeerd
De vermeende leider van wat ooit ’s werelds grootste ransomware-organisatie was, LockBit, is door de Britse National Crime Agency (NCA) benoemd tot de Russische staatsburger Dmitry Khoroshev, na de inbeslagname van de infrastructuur van de criminele bende .
Khoroshev, die zijn online leven leidde onder de naam LockBitSupp, is als gevolg van de ontmaskering bestraft door Groot-Brittannië, de VS en Australië.
Hij was zo zeker van zijn anonimiteit dat hij ooit een beloning van tien miljoen dollar uitloofde aan iedereen die zijn identiteit kon onthullen. De Amerikaanse regering looft nu een beloning van maximaal 10 miljoen dollar uit voor iedereen die informatie kan delen die tot zijn arrestatie of veroordeling kan leiden.
LockBit werd gezien als een van ’s werelds gevaarlijkste ransomwaregroepen en tot de spraakmakende slachtoffers behoorden onder meer het bezorgbedrijf Royal Mail en het ruimtevaartbedrijf Boeing .
In februari werd het volledige commando- en controleapparaat van LockBit in beslag genomen door wetshandhavers na een gezamenlijke internationale operatie .
Graeme Biggar, directeur-generaal van de National Crime Agency (NCA), zei: “Deze sancties zijn enorm belangrijk en laten zien dat er geen schuilplaats is voor cybercriminelen zoals Dmitry Khoroshev, die over de hele wereld grote schade aanrichten. Hij wist zeker dat hij anoniem kon blijven, maar hij had het mis.
“We weten dat ons werk om LockBit te ontwrichten tot nu toe uiterst succesvol is geweest in het aantasten van hun capaciteiten en geloofwaardigheid onder de criminele gemeenschap. De poging van de groep tot wederopbouw heeft geresulteerd in een veel minder geavanceerde onderneming met aanzienlijk minder impact.”
De Britse minister van Veiligheid Tom Tugendhat zei: “Cybercriminelen denken dat ze onaantastbaar zijn en verschuilen zich achter anonieme accounts terwijl ze proberen geld van hun slachtoffers af te persen.
“Door een van de leiders van LockBit te ontmaskeren, sturen we een duidelijke boodschap naar deze harteloze criminelen. Je kan niet verstoppen. Er zal gerechtigheid komen.”
Maar Chorosjev, die vermoedelijk in Rusland woont , zal waarschijnlijk nog een tijdje op vrije voeten blijven. De Russische staat heeft cybercriminelen nooit formeel uitgeleverd, en de bevriezing van de betrekkingen na de grootschalige invasie van Oekraïne in 2022 leidde tot een vrijwel totale stopzetting van alle handhavingsmaatregelen in eigen land.
De NCA en haar internationale partners hebben LockBit echter commercieel getroffen door schadelijke informatie vrij te geven die afkomstig is van de eigen servers van de groep. De criminele bende opereerde op ‘affiliate’-basis en rekende een commissie aan om anderen in staat te stellen hacks uit te voeren met behulp van hun tools.
Maar de NCA zei dat uit haar gegevens blijkt dat meer dan de helft van de aangesloten bedrijven die zij kon identificeren nooit enig geld heeft ontvangen voor hun criminaliteit – ondanks het feit dat ze duizenden hebben betaald om lid te zijn, en dat ze strafrechtelijk aansprakelijk zijn vanwege hun hackactiviteiten.
De bende brak ook haar belofte aan de slachtoffers om gestolen gegevens te verwijderen als ze het losgeld betaalden, zei de NCA, daarbij verwijzend naar de ontdekking van zogenaamd verwijderde informatie op de servers van de groep.