Narodowa Agencja ds. Przestępczości (NCA) wraz z globalnymi agencjami partnerskimi, które uczestniczyły w Operacja Kronosoperacja przeciwko gangowi ransomware LockBit, formalnie mianowała lidera załogi, administratora i głównego programistę LockBitSupp jako Dmitry Khoroshev.
Choroszewa, który w pewnym momencie drażnił swoich prześladowców oferując nagrodę w wysokości 10 milionów dolarów każdemu, kto mógłby skutecznie ujawnić swoją prawdziwą tożsamość, zostanie poddany serii zamrożeń aktywów i zakazów podróżowania, a także został w dniu dzisiejszym pobierana w Stanach Zjednoczonych z 26 zarzutami dotyczącymi oszustwa, uszkodzenia chronionych komputerów i wymuszenia. Władze USA oferują także wielomilionową nagrodę za informacje, które mogą doprowadzić do jego aresztowania i ekstradycji.
„Te sankcje są niezwykle znaczące i pokazują, że nie ma kryjówki dla cyberprzestępców takich jak Dmitrij Khoroshev, którzy sieją spustoszenie na całym świecie. Był pewien, że może pozostać anonimowy, ale się mylił” – powiedział dyrektor NCA Graeme Biggar.
„Wiemy, że nasza dotychczasowa praca nad zakłócaniem działania LockBit okazała się niezwykle skuteczna, zmniejszając jej możliwości i wiarygodność wśród społeczności przestępczej. Podjęta przez grupę próba odbudowy zaowocowała znacznie mniej wyrafinowanym przedsiębiorstwem o znacznie ograniczonym wpływie.
„Dzisiejsze ogłoszenie wbija kolejny gwóźdź do trumny LockBit, a nasze dochodzenie w tej sprawie trwa. Teraz atakujemy także podmioty stowarzyszone, które korzystały z usług LockBit w celu przeprowadzania niszczycielskich ataków oprogramowania ransomware na szkoły, szpitale i duże firmy na całym świecie” – powiedział Biggar.
„Współpracując z naszymi międzynarodowymi partnerami, wykorzystamy wszystkie dostępne nam narzędzia, aby wycelować w inne grupy, takie jak LockBit, zdemaskować ich przywództwo i podważyć ich działania w celu ochrony społeczeństwa” – dodał.
Operacja przeciwko osławionemu gangowi ransomware LockBit, Operacja Cronos, rozegrało się 19 lutego 2024 r w operacji prowadzonej przez NCA, w ramach której agencja infiltrowała jej sieć i przejmowała jej usługi, w tym witrynę zawierającą wycieki z ciemnej sieci.
Krajowy organ krajowy stwierdził dzisiaj, że w ramach operacji polegającej na udostępnianiu oprogramowania ransomware jako usługi w okresie od czerwca 2022 r. do lutego 2025 r. doszło do ponad 7000 cyberataków, w których ofiarami było ponad 100 szpitali i organizacji opieki zdrowotnej, a co najmniej 2110 ofiar zostało zmuszonych do pewnego stopnia negocjacji.
Spośród 194 podmiotów stowarzyszonych, które korzystały z usług LockBit do lutego 2024 r., liczba ta spadła obecnie do 69 gdy grupa stara się odbudować. Spośród tych aktywnych podmiotów stowarzyszonych 148 przeprowadziło ataki, a 119 zaangażowało się w negocjacje z ofiarami, chociaż aż 114 partnerów, którzy zapłaciliby tysiące za przyłączenie się do programu LockBit, tak naprawdę nigdy nie zarobiło żadnych pieniędzy na swojej przestępczości.
Dodała również, że wykryła wiele przypadków, w których deszyfrator dostarczony przez LockBit ofiarom, które zapłaciły, nigdy nie działał, a także wiele innych, w których LockBit nie dotrzymał „obietnicy” usunięcia skradzionych danych po zapłaceniu.
Krajowy organ ochrony konkurencji stwierdził, że jest obecnie w posiadaniu ponad 2500 kluczy deszyfrujących i w dalszym ciągu kontaktuje się z ofiarami LockBit, aby zaoferować wsparcie. Jak dotąd zidentyfikowała 240 ofiar w Wielkiej Brytanii i skontaktowała się z nimi.
Przebudowa LockBit nie przebiega dobrze
Tymczasem próby odbudowy podejmowane przez grupę w ciągu ostatnich kilku miesięcy wydają się przebiegać źle, gdyż gang nadal działa w ograniczonym zakresie, a jego nowa strona z przeciekami jest wykorzystywana do nagłaśniania ofiar zaatakowanych przed zabójstwem, a także do prób przypisywania sobie zasług. za zbrodnie innych.
Z najnowszych danych krajowego organu krajowego wynika, że od końca lutego liczba miesięcznych ataków LockBit w Wielkiej Brytanii spadła o 73%, a ataki, które mają miejsce, są przeprowadzane przez mniej wyrafinowane podmioty o znacznie mniejszym wpływie.
„Odkąd operacja Cronos podjęła destrukcyjne działania, LockBit walczy o umocnienie swojej dominacji i, co najważniejsze, swojej wiarygodności w społeczności cyberprzestępczej” – powiedział Don Smith, wiceprezes ds. Jednostka przeciwdziałająca zagrożeniom SecureWorks.
„Element psychologiczny działań organów ścigania był niezwykle skuteczny, wysiłki grupy zmierzające do przywrócenia dotychczasowej reputacji nie poszły szczególnie dobrze. Dzisiejsze zdemaskowanie Dmitrija Choroszewa ps LockBit Supp, pokazuje, że organy ścigania potrafią odmówić cyberprzestępcom zabezpieczenia w postaci anonimowości i narazić ich na ryzyko aresztowania i oskarżenia, jeśli podróżują ze swoim krajem”.