Uma nova onda de ações internacionais de aplicação da lei levou a quatro prisões e à derrubada de nove servidores vinculados à operação de ransomware LockBit (também conhecida como Bitwise Spider), marcando a última salva contra o que já foi um grupo prolífico com motivação financeira.
Isso inclui a prisão de um suposto desenvolvedor do LockBit na França durante férias fora da Rússia, dois indivíduos no Reino Unido que supostamente apoiavam uma afiliada e um administrador de um serviço de hospedagem à prova de balas na Espanha usado pelo grupo de ransomware, disse a Europol em comunicado. .
Em conjunto, as autoridades revelaram um cidadão russo chamado Aleksandr Ryzhenkov (também conhecido como Beverley, Corbyn_Dallas, G, Guester e Kotosel) como um dos membros de alto escalão do grupo de crimes cibernéticos Evil Corp, ao mesmo tempo que o retrataram como um afiliado da LockBit. Também foram anunciadas sanções contra sete indivíduos e duas entidades ligadas à gangue do crime eletrônico.
“Os Estados Unidos, em estreita coordenação com os nossos aliados e parceiros, nomeadamente através da Iniciativa Contra Ransomware, continuarão a expor e a desmantelar as redes criminosas que procuram lucro pessoal a partir da dor e do sofrimento das suas vítimas”, disse o subsecretário interino da Tesouro para Terrorismo e Inteligência Financeira, Bradley T. Smith.
O desenvolvimento, parte de um exercício colaborativo denominado Operação Cronos, ocorre quase oito meses depois que a infraestrutura on-line da LockBit foi apreendida. Também segue as sanções impostas contra Dmitry Yuryevich Khoroshev, que foi revelado como o administrador e indivíduo por trás da persona “LockBitSupp”.
Um complete de 16 indivíduos que faziam parte da Evil Corp foram sancionados pelo Reino Unido. Também rastreados como Gold Drake e Indrik Spider, a infame equipe de hackers está ativa desde 2014, visando bancos e instituições financeiras com o objetivo closing de roubar as credenciais dos usuários. e informações financeiras para facilitar transferências não autorizadas de fundos.
O grupo, responsável pelo desenvolvimento e distribuição do malware Dridex (também conhecido como Bugat), foi observado anteriormente implantando LockBit e outras variedades de ransomware em 2022, a fim de contornar as sanções impostas contra o grupo em dezembro de 2019, incluindo os principais membros Maksim Yakubets e Igor Turashev.
Ryzhenkov foi descrito pela Agência Nacional do Crime do Reino Unido (NCA) como o braço direito de Yakubets, com o Departamento de Justiça dos EUA (DoJ) acusando-o de implantar o ransomware BitPaymer para atingir vítimas em todo o país desde pelo menos junho de 2017.
“Ryzhenkov usou o nome de afiliado Beverley, fez mais de 60 versões do ransomware LockBit e procurou extorquir pelo menos US$ 100 milhões das vítimas em pedidos de resgate”, disseram as autoridades. “Ryzhenkov também foi vinculado ao pseudônimo mx1r e associado ao UNC2165 (uma evolução dos atores afiliados à Evil Corp).”
Além disso, o irmão de Ryzhenkov, Sergey Ryzhenkov, que se acredita usar o pseudônimo on-line Epoch, foi vinculado ao BitPaymer, pela empresa de segurança cibernética Crowdstrike, que ajudou a NCA no esforço.
“Ao longo de 2024, o Indrik Spider obteve acesso inicial a várias entidades por meio do serviço de distribuição de malware Pretend Browser Replace (FBU)”, observou. “O adversário foi visto pela última vez implantando o LockBit durante um incidente que ocorreu durante o segundo trimestre de 2024.”
Entre os indivíduos sujeitos a sanções destacam-se o pai de Yakubets, Viktor Yakubets, e o seu sogro, Eduard Benderskiy, um antigo alto funcionário do FSB, sublinhando a profunda ligação entre os grupos russos de cibercriminalidade e o Kremlin.
“O grupo estava numa posição privilegiada, com alguns membros tendo ligações estreitas com o Estado russo”, disse a NCA. “Benderskiy foi um facilitador chave do seu relacionamento com os serviços de inteligência russos que, antes de 2019, incumbiram a Evil Corp de conduzir ataques cibernéticos e operações de espionagem contra aliados da OTAN.”
“Após as sanções e acusações dos EUA em dezembro de 2019, Benderskiy usou a sua extensa influência junto do Estado russo para proteger o grupo, tanto fornecendo segurança aos membros seniores como garantindo que não fossem perseguidos pelas autoridades internas russas.”