Il governo statunitense e britannico ha identificato un individuo russo come il principale amministratore e sviluppatore dell’operazione di ransomware LockBit, conosciuta per i suoi ingenti luci ottenuti negli ultimi anni.
Le autorità degli Stati Uniti e del Regno Unito hanno smascherato Dmitry Yuryevich Khoroshev, un cittadino russo, come il capo, il programmatore e l’amministratore dell’operazione di ransomware LockBit, uno dei sindacati cybercriminali più prolifici e redditizi negli anni recenti. Secondo la tesi della procura federale americana, Khoroshev è stato il principale amministratore e sviluppatore di LockBit almeno dal settembre 2019.
Da quando è stata lanciata, LockBit è stata utilizzata in attacchi contro oltre 2500 obiettivi in almeno 120 Paesi, causando pagamenti di riscatto per almeno 500 milioni di dollari a Khoroshev e ai suoi affiliati e perdite più ampie, come entrate e costi di risposta e recupero dall’incidente, per miliardi di dollari, secondo quanto ha dichiarato il Dipartimento di Giustizia degli Stati Uniti.
Khoroshev è accusato di aver commesso una serie di reati, tra cui cospirazione per commettere frode e estorsione in connessione con computer, cospirazione per commettere frode bancaria e diverse accuse di danni intenzionali a un computer protetto. Erano state avanzate diverse accuse di estorsione in relazione a danni a un computer protetto e informazioni riservate da esso ottenute. Secondo il Dipartimento di Giustizia, le accuse comportano una pena massima di 185 anni di prigione.
Sia il governo statunitense che quello britannico e australiano hanno annunciato sanzioni contro Khoroshev. Il Dipartimento di Stato USA ha inoltre annunciato una ricompensa di 10 milioni di dollari per informazioni che portino al suo arresto e/o condanna.
“Come parte dei nostri incessanti sforzi per smantellare i gruppi di ransomware e proteggere le vittime, il Dipartimento di Giustizia ha presentato oltre due dozzine di accuse penali contro l’amministratore di LockBit, una delle organizzazioni ransomware più pericolose del mondo”, ha dichiarato Lisa Monaco, Vice Procuratore Generale. “Lavorando con partner statunitensi e internazionali, stiamo usando tutti i nostri strumenti per ritenere responsabili gli attori del ransomware – e continuiamo a incoraggiare le vittime a denunciare gli attacchi informatici all’FBI quando accadono. Denunciare un attacco potrebbe fare tutta la differenza nel prevenire il prossimo”.
Le accuse si aggiungono a un’operazione internazionale di forze dell’ordine che due mesi fa ha sequestrato parti dell’infrastruttura di LockBit. Come parte di quell’operazione, il governo degli Stati Uniti ha reso pubbliche le accuse contro due cittadini russi per il loro presunto ruolo nel facilitare gli attacchi di LockBit: Artur Sungatov e Ivan Gennadievich Kondratyev (noto anche come “Bassterlord”).
Dopo la grande operazione di Febbraio, le autorità hanno insinuato che conoscevano l’identità del principale amministratore – la vera persona dietro la personalità online di “LockBitSupp” che comunica con i giornalisti e altri online, e che ha usato il sito web di LockBit per condividere informazioni sull’operazione.
Oltre alle recenti sanzioni e accuse, l’Ufficio di Ricompense per la Criminalità Organizzata Transnazionale del Dipartimento di Stato degli Stati Uniti ha annunciato una ricompensa di $10 milioni per informazioni che conducano all’arresto e alla condanna di Khoroshev.
- U.S. Department of Justice – LockBit 2.0 Ransomware Complaint
- U.S. Department of Justice – U.S. Charges Russian National with Developing and Operating LockBit Ransomware
- U.S. Department of the Treasury – Treasury Targets Key Participants in the LockBit 2.0 Ransomware Ecosystem
- U.K. National Crime Agency – Operation Cronos
- U.S. State Department – LockBit Ransomware Administrator Dmitry Yuryevich Khoroshev
Le azioni di martedì arrivano poco più di due mesi dopo un’operazione di contrasto al crimine informatico internazionale che ha sequestrato parti dell’infrastruttura di LockBit nell’ambito dell'”Operazione Cronos”. Come parte di quella operazione, il governo degli Stati Uniti ha reso pubbliche le accuse contro due cittadini russi per i loro presunti ruoli nel facilitare gli attacchi di LockBit: Artur Sungatov e Ivan Gennadievich Kondratyev (noto anche come “Bassterlord”).
Dopo l’operazione di febbraio, le autorità hanno insinuato di conoscere l’identità del principale amministratore: l’effettivo individuo dietro la personalità “LockBitSupp” che comunica con i giornalisti e gli altri online e che ha usato il sito web di LockBit per condividere informazioni sull’operazione. LockBitSupp ha ricostruito parte dell’infrastruttura dopo la perturbazione e ha tentato di far passare la situazione come se fosse “tutto come al solito”, nonostante diversi osservatori abbiano affermato che LockBit stava ripubblicando vecchie vittime presentandole come nuove. Il nuovo sito ha elencato 44 nuove vittime e 25 aggiornamenti di vittime, secondo il Counter Threat Unit di Secureworks, la maggior parte delle quali erano effettivamente nuove.
“Da quando l’Operazione Cronos ha preso atto, LockBit ha lottato per riaffermare il suo dominio e, soprattutto, la sua credibilità all’interno della comunità cybercriminale”, ha affermato Don Smith, Vice Presidente del Counter Threat Unit di Secureworks, in un’email a CyberScoop. “L’aspetto psicologico dell’azione compiuta dalle forze dell’ordine è stato estremamente efficace, gli sforzi del gruppo per ristabilire la sua reputazione precedente non sono andati particolarmente bene. L’esposizione di oggi di Dmitry Khoroshev alias LockBit Supp, dimostra la capacità delle forze dell’ordine di negare ai cybercriminali l’immunità dell’anonimato e di metterli a rischio di arresto e persecuzione se viaggiano fuori dal loro paese di origine”.