У вівторок коаліція правоохоронних органів на чолі з Національним агентством по боротьбі зі злочинністю Великобританії оголосила, що громадянин росії Дмитро Юрійович Хорошев, 31 рік, є особою під ніком LockBitSupp, адміністратором і розробником програми-вимагача LockBit.
Міністерство юстиції США також оголосило про висунення обвинувачення Хорошеву, звинувативши його в комп’ютерних злочинах, шахрайстві та вимаганні, – повідомляє Techcrunch.
“Сьогодні ми робимо ще один крок вперед, висуваючи звинувачення особі, яка, як ми стверджуємо, розробила і керувала цією шкідливою кібер-схемою, яка націлилася на понад 2 000 жертв і викрала понад 100 мільйонів доларів США у вигляді платежів за викуп”, – цитується в заяві генерального прокурора Мерріка Гарланда.
За даними Мін’юсту, Хорошев родом з Воронежа, міста в росії, розташованого приблизно в 300 милях на південь від Москви.
“Дмитро Хорошев задумав, розробив і адміністрував Lockbit, найпродуктивнішу групу програм-вимагачів у світі, що дозволило йому і його поплічникам сіяти хаос і завдати збитків на мільярди доларів тисячам жертв по всьому світу”, – заявив прокурор округу Нью-Джерсі Філіп Р. Селлінгер, де Хорошеву було пред’явлено звинувачення.
Правоохоронна коаліція оголосила про особу LockBitSupp у прес-релізах, а також на оригінальному даркнет веб-сайті LockBit, який влада вилучила на початку цього року. На сайті Державний департамент США оголосив про винагороду в розмірі 10 мільйонів доларів за інформацію, яка може допомогти владі заарештувати і засудити Хорошева.
Уряд США також оголосив про санкції проти Хорошева, які фактично забороняють будь-кому мати з ним справу, наприклад, жертвам, які платять викуп. Санкції проти людей, які стоять за програмами-вимагачами, ускладнюють отримання ними прибутку від кібератак. Порушення санкцій, у тому числі виплата винагороди хакеру, що потрапив під санкції, може призвести до великих штрафів і судового переслідування.
LockBit діє з 2020 року, і, за даними американського агентства з кібербезпеки CISA, варіант програми-вимагача цієї групи був “найбільш поширеним” у 2022 році.
У заяві Європолу, який брав участь у правоохоронній операції, йдеться про те, що влада має понад 2 500 ключів дешифрування, які можуть допомогти жертвам розблокувати дані, раніше зашифровані бандою.
NCA опублікувало інфографіку про захоплений сайт LockBit, яка містить статистичні дані про діяльність LockBit. Згідно з цими даними, група атакувала понад 100 лікарень, медичних компаній та установ, включаючи дитячу лікарню. У цьому випадку LockBit заявив, що атака була помилковою, і він заблокує “партнера”, відповідального за атаку, і надасть ключі дешифрувальника для розблокування файлів. Однак, за словами NCA, “це була брехня”, оскільки партнер залишався активним, а ключі-дешифрувальники “не працювали належним чином”.
Зі свого боку, NCA запросили Хорошева вийти на зв’язок, якщо він заперечує їхні висновки.
У неділю правоохоронна коаліція відновила заарештований темний сайт LockBit, щоб опублікувати список постів, які мали на меті висміяти останні викриття. У лютому влада оголосила, що взяла під контроль сайт LockBit і замінила пости хакерів своїми власними, які включали прес-реліз та іншу інформацію, пов’язану з тим, що коаліція назвала “Операцією Кронос”.
Невдовзі після цього LockBit повернувся з новим сайтом і новим списком ймовірних жертв, який, за словами дослідника безпеки, який відстежує цю групу, оновлювався станом на понеділок.
Протягом декількох тижнів лідер LockBit, відомий як LockBitSupp, публічно намагався заперечити операцію правоохоронних органів і показати, що LockBit все ще активний і націлений на жертв. У березні представники LockBitSupp дали інтерв’ю виданню The Record, в якому стверджували, що операція “Кронос” і дії правоохоронців “жодним чином не впливають на бізнес”.
“Я сприймаю це як додаткову рекламу і можливість показати всім силу свого характеру. Мене не залякати. Те, що тебе не вбиває, робить тебе сильнішим”, – сказав LockBitSupp в інтерв’ю виданню The Record.