پلیس ایالات متحده و بریتانیا رهبر روسی باج افزار LockBit را شناسایی و متهم می کند
سرانجام هویت رهبر یکی از بدنام ترین گروه های باج افزار تاریخ فاش شد.
روز سهشنبه، ائتلافی از مجریان قانون به رهبری آژانس ملی جرایم بریتانیا اعلام کرد که دیمیتری یوریویچ خروسف، ۳۱ ساله، تبعه روسیه، فردی است که در پشت نام مستعار LockBitSupp، مدیر و توسعهدهنده باجافزار LockBit است. وزارت دادگستری آمریکا نیز با اعلام کیفرخواست خروشف، وی را به جرایم رایانه ای، کلاهبرداری و اخاذی متهم کرد.
مریک بی. گارلند، دادستان کل آمریکا گفت: «امروز ما یک گام فراتر میرویم و فردی را که ادعا میکنیم این طرح سایبری مخرب را توسعه داده و مدیریت کرده است، که بیش از 2000 قربانی را هدف قرار داده و بیش از 100 میلیون دلار پرداختهای باجافزار را به سرقت برده است، متهم میکنیم.» در اطلاعیه
به گفته وزارت دادگستری، خروشف اهل ورونژ، شهری در روسیه در حدود 300 مایلی جنوب مسکو است.
فیلیپ، دادستان ایالات متحده گفت: «دیمیتری خروشف Lockbit، پرکارترین نوع و گروه باجافزار در جهان را طراحی، توسعه و مدیریت کرد، که به خود و افراد وابستهاش این امکان را میدهد که ویران کنند و میلیاردها دلار خسارت به هزاران قربانی در سراسر جهان وارد کنند». R. Sellinger برای ناحیه نیوجرسی، جایی که خروسف در آن کیفرخواست صادر شد.
ائتلاف مجری قانون هویت LockBitSupp را در بیانیههای مطبوعاتی و همچنین در وبسایت تاریک اصلی LockBit که مقامات اوایل سال جاری کشف کردند، اعلام کرد. در این سایت، وزارت امور خارجه ایالات متحده برای اطلاعاتی که بتواند به مقامات در دستگیری و محکوم کردن خروشف کمک کند، جایزه 10 میلیون دلاری را اعلام کرد.
دولت ایالات متحده همچنین تحریم هایی را علیه خروشف اعلام کرد که عملاً هر کسی را از معامله با او منع می کند، مانند قربانیانی که باج می دهند. تحریم افراد پشت باج افزار، سود بردن از حملات سایبری را برای آنها دشوارتر می کند. نقض تحریم ها، از جمله پرداخت پول به هکر تحریم شده، می تواند منجر به جریمه های سنگین و پیگرد قانونی شود.
LockBit از سال 2020 فعال بوده است و به گفته آژانس امنیت سایبری ایالات متحده CISA، نوع باج افزار این گروه “بیشترین” در سال 2022 بود.
یوروپل که در عملیات اجرای قانون مشارکت داشت، در بیانیه ای گفت که مقامات اکنون بیش از 2500 کلید رمزگشایی دارند که می تواند به قربانیان کمک کند تا قفل داده هایی را که قبلاً توسط این باند رمزگذاری شده بودند، باز کنند.
NCA یک اینفوگرافیک در سایت توقیف شده LockBit منتشر کرد که شامل آماری از فعالیت های LockBit بود. بر اساس داده ها، این گروه بیش از 100 بیمارستان، شرکت مراقبت های بهداشتی و تاسیسات، از جمله یک بیمارستان کودکان را هدف قرار داده است. در آن صورت، LockBit گفت که حمله یک اشتباه بوده است و “شریک” مسئول حمله را مسدود می کند و کلیدهای رمزگشا را برای باز کردن قفل فایل ها ارائه می دهد. با این حال، به گفته NCA، “این یک دروغ بود”، زیرا شریک فعال باقی ماند و کلیدهای رمزگشا “به درستی کار نکردند.”
NCA به نوبه خود از خروشف دعوت کرد تا در صورت مخالفت با یافته های آنها با او تماس بگیرد. “خوش آمدید این کار را شخصا انجام دهید؟” NCA گفت.
روز یکشنبه، ائتلاف مجری قانون، وبسایت تاریک LockBit را بازیابی کرد تا فهرستی از پستهایی را منتشر کند که قصد داشتند آخرین افشاگریها را اذیت کنند. در ماه فوریه، مقامات اعلام کردند که کنترل سایت LockBit را به دست گرفتند و پست های هکرها را با پست های خود جایگزین کردند، که شامل یک بیانیه مطبوعاتی و سایر اطلاعات مربوط به آنچه ائتلاف آن را “عملیات کرونوس” نامید.
مدت کوتاهی پس از آن، به نظر میرسد که LockBit با یک سایت جدید و لیست جدیدی از قربانیان ادعایی که از روز دوشنبه بهروزرسانی میشد، بازگشت. به گفته یک محقق امنیتی که گروه را ردیابی می کند
برای هفتهها، رهبر LockBit، معروف به LockBitSupp، در تلاش برای رد کردن عملیات اجرای قانون و نشان دادن اینکه LockBit هنوز فعال است و قربانیان را هدف قرار میدهد، پر سر و صدا و علنی بود. در ماه مارس، LockBitSupp مصاحبه ای با خبرگزاری The Record انجام داد که در آن آنها ادعا کردند که عملیات Cronos و اقدامات مجری قانون “به هیچ وجه بر تجارت تأثیر نمی گذارد.”
“من از این به عنوان تبلیغات اضافی و فرصتی برای نشان دادن قدرت شخصیت خود به همه استفاده می کنم. نمی توانم مرعوب شوم. LockBitSupp به The Record گفت: چیزی که شما را نمی کشد، شما را قوی تر می کند.