LockBit’in dehasının iddianamesinden öğrendiklerimiz

Salı günü, ABD ve İngiltere yetkilileri, tarihin en üretken ve en zarar verici fidye yazılımı gruplarından biri olan LockBit’in arkasındaki beyinin, “LockbitSupp” olarak da bilinen Dmitry Yuryevich Khoroshev adlı 31 yaşındaki bir Rus olduğunu açıkladı.

Bu tür duyurularda alışılageldiği üzere kolluk kuvvetleri Khoroshev’in resimlerini ve grubunun operasyonunun ayrıntılarını yayınladı. ABD Adalet Bakanlığı Khoroshev’i çeşitli bilgisayar suçları, dolandırıcılık ve gaspla suçladı. Ve bu süreçte federaller, LockBit’in geçmiş operasyonlarına ilişkin bazı ayrıntıları da ortaya çıkardı.

Bu yılın başlarında yetkililer LockBit’in altyapısına ve çetenin veri bankalarına el koyarak LockBit’in nasıl çalıştığına dair önemli ayrıntıları ortaya çıkardı.

Bugün, federallerin “zaman zaman dünyanın en üretken ve yıkıcı fidye yazılımı grubu olarak değerlendirilen devasa bir suç örgütü” olarak adlandırdığı örgüt hakkında daha fazla ayrıntıya sahibiz.

İşte Khoroshev iddianamesinden öğrendiklerimiz.

Khoroshev’in ikinci bir takma adı vardı: putinkrab

LockBit’in lideri, kamuoyunda pek de yaratıcı olmayan LockBitSupp takma adıyla tanınıyordu. Ancak Khoroshev’in başka bir çevrimiçi kimliği daha vardı: putinkrab. İddianamede çevrimiçi kullanıcı adı hakkında herhangi bir bilgi yer almıyor ancak Rusya Devlet Başkanı Vladimir Putin’e atıfta bulunulduğu görülüyor. Ancak internette Flickr, YouTube ve Reddit’te aynı adı kullanan birkaç profil var, ancak bu hesapların Khoroshev tarafından yönetilip yönetilmediği belli değil.

LockBit Rusya’daki mağdurları da vurdu

Uzmanlara göre Rus siber suç dünyasında kutsal, yazılı olmayan bir kural var: Rusya dışındaki herkesi hacklerseniz yerel yetkililer sizi rahat bırakacaktır. Şaşırtıcı bir şekilde, federallere göre Khoroshev ve işbirlikçileri “çok sayıda Rus kurbana karşı da LockBit kullandılar.”

Bunun Rus yetkililerin Khoroshev’in peşine düşeceği anlamına gelip gelmeyeceğini henüz bilmiyoruz ama en azından artık onun kim olduğunu biliyorlar.

Khoroshev bağlı kuruluşlarını yakından takip etti

LockBit gibi fidye yazılımı işlemleri, hizmet olarak fidye yazılımı olarak bilinir. Bu, Khoroshev gibi yazılımı ve altyapıyı oluşturan geliştiricilerin olduğu ve ayrıca yazılımı işleten ve dağıtan, kurbanlara virüs bulaştıran ve fidye alan bağlı şirketlerin olduğu anlamına geliyor. Federaller, bağlı kuruluşların Khoroshev’e işlemlerinin yaklaşık %20’sini ödediğini iddia etti.

İddianameye göre bu iş modeli, Khoroshev’in mağdur müzakerelerine erişim ve bazen bunlara katılma da dahil olmak üzere bağlı kuruluşlarını “yakından” izlemesine olanak tanıdı. Hatta Khoroshev “bağlı İşbirlikçilerinden, altyapısında da bulundurduğu kimlik belgelerini bile talep etti.” Muhtemelen kolluk kuvvetleri Lockbit’in bazı bağlı kuruluşlarını bu şekilde tespit edebildi.

Khoroshev ayrıca ana fidye yazılımını tamamlayan “StealBit” adlı bir araç da geliştirdi. Bu araç, bağlı kuruluşların kurbanlardan çalınan verileri Khoroshev’in sunucularında saklamasına ve bazen bunları LockBit’in resmi karanlık web sızıntı sitesinde yayınlamasına olanak tanıyordu.

LockBit’in fidye yazılımı ödemeleri yaklaşık 500 milyon doları buldu

LockBit 2020’de faaliyete geçti ve o zamandan bu yana bağlı kuruluşları, aralarında “büyük çok uluslu şirketlerden küçük işletmelere ve bireylere kadar hastaneler, okullar, kar amacı gütmeyen kuruluşlar, kritik altyapı tesisleri ve diğer kuruluşlar da bulunan” yaklaşık 2.500 kurbandan en az yaklaşık 500 milyon doları başarıyla sızdırdı. hükümet ve kolluk kuvvetleri.”

Federaller, fidye ödemelerinin yanı sıra, çetenin kurbanların operasyonlarını aksatması ve birçok kişiyi olay müdahale ve kurtarma hizmetlerini ödemeye zorlaması nedeniyle LockBit’in “dünya çapında milyarlarca ABD doları tutarında hasara yol açtığını” iddia etti.

Khoroshev bazı bağlı şirketlerinin kimliğini belirlemek için yetkililerle temasa geçti

Muhtemelen en son ortaya çıkanlar arasında en şok edici olanı: Şubat ayında, küresel kolluk kuvvetleri koalisyonu LockBit’in web sitesini ve altyapısını çökerttikten sonra, Khoroshev “kolluk kuvvetleriyle iletişim kurdu ve şahsın kimliğine ilişkin bilgi karşılığında hizmetlerini teklif etti” [ransomware-as-a-service] rakipler.”

İddianameye göre Khoroshev kolluk kuvvetlerinden şunları talep etti:[g]Bana düşmanlarımın isimlerini ver.