FBI, britanska Nacionalna agencija za borbu protiv kriminala i Europol objavili su optužnice i sankcije koje uključuju zamrzavanje imovine i zabranu putovanja za administratora operacije LockBit ransomwarea, otkrivajući prvi put identitet vođe grupe.
Riječ je o ruskom državljaninu 31-godišnjem Dmitriju Horoševu iz Voronježa, koji je poznat kao LockBitSupp i putinkrab, koji je navodno od ransomwarea zaradio 100 miliona dolara.
Sankcije protiv Horoševa mogle bi poremetiti rad grupe jer bi se plaćanje otkupa moglo tretirati kao kršenje sankcija, što znači da bi kompanije koje bi platile otkup mogle biti kažnjene.
SAD takođe nude nagradu od 10 miliona dolara za informacije koje bi dovele do hapšenja i/ili osude Horoševa.
Vlada SAD je optužila još pet članova LockBita, uključujući Artura Sungatova, Ivana Kondratjeva (Bassterlord), Ruslana Astamirova, Mihaila Matvejeva (Wazawaka) i Mihaila Vasiljeva. Mihail Vasiljev je ranije uhapšen i osuđen na četiri godine zatvora, dok je Ruslan Astamirov u pritvoru i čeka suđenje.
Operacija LockBit ransomware-as-a-service (RaaS) pokrenuta je u septembru 2019. godine, pod imenom ABCD, a kasnije je preimenovana u LockBit. Grupa je razvila i održavala ransomware i sajtove za objavljivanje ukradenih podataka i regrutovala filijale da hakuju korporativne mreže, kradu podatke i šifruju uređaje. Kao dio ovog aranžmana, LockBit operateri bi uzimali oko 20% svih uplata otkupnine, a filijale su zadržavale ostatak.
Operacijom upravlja LockBitSupp, sada poznat kao Horošev, koji je često posjećivao ruske hakerske forume i uživao u razgovoru sa novinarima i istraživačima o svom kriminalnom preduzeću.
Do februara 2024. LockBit je postao najveća i najaktivnija ransomware operacija. Međutim, u februaru, banda je pretrpjela veliki udarac kada je policija u okviru Operacije Kronos uklonila infrastrukturu LockBita, uključujući 34 servera grupe na kojima se nalazio njen veb sajt i partnerski panel. Akcija je omogućila policiji da dođe do podataka ukradenih od žrtava, adresa kriptovaluta, ključeva za dešifrovanje i niz drugih informacija o bandi. Prvobitno je objavljeno da se tokom policijske operacije došlo do 1.000 ključeva za dešifrovanje, ali sada je objavljeno da policija ima i dodatnih 1.500 ključeva za dešifrovanje i da se nastavlja sa pružanjem pomoći žrtvama LockBita da besplatno povrate svoje fajlove.
Analizirajući zaplenjene podatke, britanska Nacionalna agencija za borbu protiv kriminala je utvrdila da je LockBit odgovoran za iznuđivanje milijardu dolara od hiljada kompanija širom svijeta, a Horošev i njegovi partneri iznudili su više od 500 miliona dolara kao otkupninu.
Od juna 2022. do februara 2024. godine, grupa je izvela više od 7.000 napada, a zemlje koje su bile najviše pogođene su SAD, Velika Britanija, Francuska, Njemačka i Kina.
LockBit je aktivan i sada, a nedavno je grupa objavila ogromnu količinu starih i novih podataka. Međutim, operacija Kronos dovela je do toga da su podružnice masovno napustile operaciju, zbog čega se vjeruje da su dani LockBita odbrojani.
Nažalost, kraj LockBita ne znači i kraj djelovanja onih koji su učestvovali u ovim napadima, jer će sajber kriminalci koji su bili dio operacije nastaviti sa napadima pod nekim novim imenom u budućnosti.