Το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου και η Europol ανακοίνωσαν κατηγορίες και κυρώσεις κατά του διαχειριστή του LockBit ransomware, με την ταυτότητα του Ρώσου hacker να αποκαλύπτεται για πρώτη φορά. Σύμφωνα με το κατηγορητήριο του Υπουργείου Δικαιοσύνης των ΗΠΑ και ένα δελτίο τύπου της NCA, ο διαχειριστής του ransomware LockBit, που ήταν γνωστός ως «LockBitSupp» και «putinkrab» είναι ο Ρώσος Dmitry Yuryevich Khoroshev, 31 ετών, από το Voronezh.
“Οι κυρώσεις κατά του Ρώσου υπηκόου Dmitry Yuryevich Khoroshev, του διαχειριστή και προγραμματιστή της ομάδας ransomware LockBit, ανακοινώνονται σήμερα από το FCDO μαζί με το Foreign Assets Control (OFAC) του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) και το Αυστραλιανό Υπουργείο Εξωτερικών Υποθέσεων“, ανακοίνωσε η Εθνική Υπηρεσία Εγκλήματος.
Δείτε επίσης: Το Cannes Hospital θύμα επίθεσης του LockBit Ransomware
Ταυτόχρονα, ένα κατηγορητήριο που αποσφραγίστηκε από το Υπουργείο Δικαιοσύνης (DoJ) ανακοινώνει 26 κατηγορίες κατά του Dmitry Yuryevich Khoroshev. Συνολικά, οι κατηγορίες επισύρουν μέγιστη ποινή φυλάκισης 185 ετών. Κάθε μία από τις κατηγορίες επιφέρει επιπλέον χρηματική ποινή.
“Ως βασικός ηγέτης της ομάδας LockBit και προγραμματιστής του LockBit ransomware, ο Khoroshev έχει εκτελέσει διάφορους λειτουργικούς και διοικητικούς ρόλους για την ομάδα εγκλήματος στον κυβερνοχώρο και έχει επωφεληθεί οικονομικά από τις επιθέσεις ransomware LockBit“, δήλωσε το Υπουργείο Οικονομικών των ΗΠΑ.
Ο Khoroshev υπόκειται τώρα σε πάγωμα των περιουσιακών του στοιχείων και σε ταξιδιωτικούς περιορισμούς.
Αυτές οι κυρώσεις θα έχουν σημαντικό αντίκτυπο στη λειτουργία του ransomware, καθώς η πληρωμή λύτρων είναι αντίθετη με τις κυρώσεις. Επομένως, θα μπορούσα να καταβληθούν κυβερνητικά πρόστιμα σε εταιρείες-θύματα που αποφάσιζαν να καταφύγουν σε αυτή τη μέθοδο.
Αν και η ομάδα έχει επιστρέψει και πραγματοποιεί επιθέσεις, μια πρόσφατη παραβίαση και η κατάσχεση της υποδομής LockBit είχε επιτρέψει στις αρχές να αποκτήσουν περισσότερα κλειδιά αποκρυπτογράφησης, από αυτά που είχαν ανακοινώσει προηγουμένως.
Πέντε άλλα μέλη του LockBit έχουν κατηγορηθεί, επίσης, από την κυβέρνηση των ΗΠΑ, συμπεριλαμβανομένων των Artur Sungatov, Ivan Kondratyev (Bassterlord), Ruslan Magomedovich Astamirov, Mikhail Matveev (Wazawaka) και Mikhail Vasiliev.
Ο Mikhail Vasiliev είχε συλληφθεί στο παρελθόν και καταδικάστηκε σε τέσσερα χρόνια φυλάκιση, ενώ ο Ruslan Magomedovich Astamirov βρίσκεται υπό κράτηση εν αναμονή της δίκης.
“Ο Dmitry Yuryevich Khoroshev διευκόλυνε την αναβάθμιση της υποδομής LockBit, στρατολόγησε νέους προγραμματιστές για το ransomware και διαχειρίστηκε τους affiliastes. Είναι επίσης υπεύθυνος για τις προσπάθειες του LockBit να συνεχίσει τις λειτουργίες μετά τη διακοπή του από τις ΗΠΑ και τους συμμάχους τους νωρίτερα αυτό το έτος“.
LockBit ransomware: Η άνοδος και η πτώση
Το LockBit ransomware εμφανίστηκε τον Σεπτέμβριο του 2019. Αρχικά, είχε το όνομα «ABCD» και αργότερα μετονομάστηκε σε LockBit.
Το ransomware έκλεβε δεδομένα από τα δίκτυα των θυμάτων και κρυπτογραφούσε αρχεία, εμποδίζοντας την πρόσβαση σε αυτά. Ζητούσε λύτρα από τα θύματα και αν οι hackers δεν τα λάμβαναν, δημοσίευαν τα κλεμμένα δεδομένα σε ένα site διαρροής δεδομένων. Η ransomware επιχείρηση στρατολογούσε και affiliates για να χακάρουν εταιρικά δίκτυα, να κλέβουν δεδομένα και να κρυπτογραφούν συσκευές.
Ως μέρος αυτής της συμφωνίας, οι χειριστές LockBit κέρδιζαν περίπου το 20% των πληρωμών λύτρων, ενώ οι affiliates κρατούσαν τα υπόλοιπα.
Δείτε επίσης: Η κυβέρνηση της Μολδαβίας χτυπήθηκε από τη NoName Ransomware
Ο διαχειριστής του LockBit ransomware ήταν γνωστός ως LockBitSupp, ενώ τώρα αποκαλύφθηκε για πρώτη φορά η ταυτότητά του. Ο Ρώσος hacker σύχναζε σε ρωσόφωνα hacking φόρουμ και μιλούσε συχνά σε δημοσιογράφους και ερευνητές για την εγκληματική του επιχείρηση.
Ενώ αρχικά ισχυριζόταν ότι λειτουργεί από την Κίνα, οι σημερινές αποκαλύψεις δείχνουν ότι είναι Ρώσος υπήκοος.
Το LockBit έγινε σύντομα η μεγαλύτερη και πιο ενεργή επιχείρηση ransomware, με όλο και περισσότερα θύματα και 194 affiliates μέχρι τον Φεβρουάριο του 2024. Ωστόσο, τον ίδιο μήνα, οι αρχές επιβολής του νόμου (“Operation Cronos”) στόχευσαν την υποδομή της συμμορίας ransomware. Κατήργησαν την υποδομή του LockBit, συμπεριλαμβανομένων 34 διακομιστών, ανέκτησαν δεδομένα που είχαν κλαπεί από τα θύματα και απέκτησαν πολλές χρήσιμες πληροφορίες σχετικά με τη συμμορία.
Αναλύοντας τα δεδομένα, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου λέει ότι το LockBit είχε ζητήσει συνολικά πάνω από 1 δισεκατομμύριο δολάρια από όλα τα θύματά του. Τελικά, ο διαχειριστής του LockBit ransomware και οι affiliates είχαν λάβει πάνω από 500 εκατομμύρια δολάρια σε λύτρα.
Μεταξύ Ιουνίου 2022 και Φεβρουαρίου 2024, η επιχείρηση ransomware πραγματοποίησε περισσότερες από 7.000 επιθέσεις.
Το LockBit συνεχίζει να λειτουργεί σήμερα, στοχεύοντας νέα θύματα. Ωστόσο, η NCA αναφέρει ότι η Operation Cronos οδήγησε σε μαζική έξοδο affiliates, με αποτέλεσμα ο αριθμός των ενεργών μελών να πέσει από 194 σε 69. Ωστόσο, αυτό δεν σημαίνει ότι υπάρχουν λιγότερες απειλές. Αυτοί οι hackers πιθανότατα έχουν ενσωματωθεί σε άλλες συμμορίες.
Οι αρχές επιβολής του νόμου οργανώνουν διάφορες επιχειρήσεις για την καταπολέμηση του ransomware και τώρα για πρώτη φορά αποκάλυψαν και τον διαχειριστή του περιβόητου LockBit ransomware. Ωστόσο, δεν πρέπει να επαναπαυόμαστε. Χρήστες και επιχειρήσεις πρέπει να λαμβάνουν μέτρα για την προστασία έναντι αυτών των επιθέσεων.
Μία από τις καλύτερες τεχνικές προστασίας από το ransomware είναι η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενημερωμένοι για τους τρόπους με τους οποίους το ransomware μπορεί να εισέλθει σε ένα σύστημα, όπως τα phishing emails. Θα πρέπει να είναι σε θέση να αναγνωρίσουν τέτοιες απειλές.
Δείτε επίσης: Το νέο KageNoHitobito ransomware στοχεύει χρήστες Windows
Η χρήση αξιόπιστου λογισμικού antivirus είναι επίσης ζωτικής σημασίας. Το λογισμικό αυτό μπορεί να αναγνωρίσει και να απομακρύνει το ransomware πριν αυτό μπορέσει να προκαλέσει ζημιά.
Το τακτικό backup των δεδομένων είναι μια άλλη σημαντική τεχνική προστασίας. Σε περίπτωση που το σύστημα πέσει θύμα ransomware, η αποκατάσταση των δεδομένων από ένα backup μπορεί να είναι η μόνη λύση.
Η χρήση ενημερωμένων εκδόσεων λογισμικού και λειτουργικών συστημάτων είναι επίσης κρίσιμη. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τις ευπάθειες των παλαιών εκδόσεων για να εγκαταστήσουν ransomware.
Τέλος, η χρήση εργαλείων προστασίας δικτύου, όπως τα firewalls και τα συστήματα ανίχνευσης εισβολών, μπορεί να βοηθήσει στην πρόληψη των επιθέσεων ransomware.
Πηγή: www.bleepingcomputer.com
