A Agência Nacional do Crime do Reino Unido (NCA) desmascarou o administrador e desenvolvedor da operação de ransomware LockBit, revelando que se trata de um cidadão russo de 31 anos chamado Dmitry Yuryevich Khoroshev.
Além disso, Khoroshev foi sancionado pelo Escritório de Relações Exteriores, Commonwealth e Desenvolvimento do Reino Unido (FCD), pelo Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA e pelo Departamento de Relações Exteriores da Austrália.
A Europol, num comunicado de imprensa, disse que as autoridades possuem mais de 2.500 chaves de desencriptação e continuam a contactar as vítimas do LockBit para oferecer apoio.
Khoroshev, conhecido pelos nomes LockBitSupp e putinkrab, também se tornou alvo de congelamento de bens e proibições de viagens, com o Departamento de Estado dos EUA a oferecer uma recompensa de até 10 milhões de dólares por informações que levem à sua prisão e/ou condenação.
Anteriormente, a agência havia anunciado ofertas de recompensa de até US$ 15 milhões em busca de informações que levassem à identidade e localização dos principais líderes do grupo variante do ransomware LockBit, bem como informações que levassem às prisões e/ou condenações dos membros do grupo.
Ao mesmo tempo, uma acusação não selada pelo Departamento de Justiça (DoJ) acusou Khoroshev de 26 acusações, incluindo uma acusação de conspiração para cometer fraude, extorsão e atividades relacionadas relacionadas com computadores; uma acusação de conspiração para cometer fraude eletrônica; oito acusações de danos intencionais a um computador protegido; oito acusações de extorsão em relação a informações confidenciais de um computador protegido; e oito acusações de extorsão em relação a danos a um computador protegido.
Ao todo, as acusações acarretam pena máxima de 185 anos de prisão. Cada uma das acusações acarreta ainda uma penalidade monetária que é maior entre US$ 250.000, ganho pecuniário para o infrator ou dano pecuniário à vítima.
Com a última acusação, um whole de seis membros afiliados à conspiração LockBit foram acusados, incluindo Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov e Ivan Kondratyev.
“O anúncio de hoje coloca outro grande prego no caixão do LockBit e nossa investigação sobre eles continua”, disse o diretor geral da NCA, Graeme Biggar. “Agora também temos como alvo afiliados que usaram os serviços LockBit para infligir ataques devastadores de ransomware em escolas, hospitais e grandes empresas em todo o mundo”.
LockBit, que period um dos grupos de ransomware como serviço (RaaS) mais prolíficos, foi desmantelado como parte de uma operação coordenada chamada Cronos no início de fevereiro. Estima-se que tenha visado mais de 2.500 vítimas em todo o mundo e recebido mais de US$ 500 milhões em pagamentos de resgate.
“O ransomware LockBit foi usado contra empresas australianas, do Reino Unido e dos EUA, compreendendo 18% do whole de incidentes de ransomware australianos relatados em 2022-23 e 119 vítimas relatadas na Austrália”, disse Penny Wong, Ministra das Relações Exteriores da Austrália.
No modelo de negócios RaaS, a LockBit licencia seu software program de ransomware para afiliados em troca de uma redução de 80% nos resgates pagos. O grupo de crime eletrônico também é conhecido por suas táticas de dupla extorsão, em que dados confidenciais são exfiltrados das redes das vítimas antes de criptografar os sistemas de computador e exigir pagamentos de resgate.
Acredita-se que Khoroshev, que iniciou a LockBit por volta de setembro de 2019, tenha arrecadado pelo menos US$ 100 milhões em desembolsos como parte do esquema nos últimos quatro anos.
“O verdadeiro impacto da criminalidade da LockBit period anteriormente desconhecido, mas os dados obtidos dos seus sistemas mostraram que entre junho de 2022 e fevereiro de 2024, mais de 7.000 ataques foram construídos utilizando os seus serviços”, disse a NCA. “Os cinco países mais atingidos foram os EUA, Reino Unido, França, Alemanha e China.”
As tentativas da LockBit de ressurgir após a ação policial foram, na melhor das hipóteses, malsucedidas, levando-a a postar vítimas antigas e falsas em seu novo web site de vazamento de dados.
“A LockBit criou um novo web site de vazamento no qual inflou a atividade aparente ao publicar vítimas visadas antes da NCA assumir o controle de seus serviços em fevereiro, bem como assumir o crédito por ataques perpetrados usando outras variedades de ransomware”, observou a agência.
Estima-se que o esquema RaaS abrangesse 194 afiliados até 24 de fevereiro, dos quais 148 construíram ataques e 119 se envolveram em negociações de resgate com as vítimas.
“Dos 119 que iniciaram negociações, 39 parecem nunca ter recebido pagamento de resgate”, observou a NCA. “Setenta e cinco não se envolveram em nenhuma negociação, portanto também parecem não ter recebido nenhum pagamento de resgate”.
O número de afiliados ativos do LockBit caiu para 69, disse a NCA, acrescentando que o LockBit não excluía rotineiramente os dados roubados depois que o resgate period pago e que descobriu vários casos em que o descriptografador fornecido às vítimas não funcionou conforme o esperado.
“Como líder do grupo LockBit e desenvolvedor do ransomware LockBit, Khoroshev desempenhou uma variedade de funções operacionais e administrativas para o grupo de crimes cibernéticos e se beneficiou financeiramente dos ataques de ransomware LockBit”, disse o Departamento do Tesouro dos EUA.
“Khoroshev facilitou a atualização da infraestrutura LockBit, recrutou novos desenvolvedores para o ransomware e gerenciou afiliados da LockBit. Ele também é responsável pelos esforços da LockBit para continuar as operações após sua interrupção pelos EUA e seus aliados no início deste ano.”