پلیس ایالات متحده و بریتانیا رهبر روسی باج افزار LockBit را شناسایی و متهم می کند

سرانجام هویت رهبر یکی از بدنام ترین گروه های باج افزار تاریخ فاش شد.

روز سه‌شنبه، ائتلافی از مجریان قانون به رهبری آژانس ملی جرایم بریتانیا اعلام کرد که دیمیتری یوریویچ خروسف، ۳۱ ساله، تبعه روسیه، فردی است که در پشت نام مستعار LockBitSupp، مدیر و توسعه‌دهنده باج‌افزار LockBit است. وزارت دادگستری آمریکا نیز با اعلام کیفرخواست خروشف، وی را به جرایم رایانه ای، کلاهبرداری و اخاذی متهم کرد.

مریک بی. گارلند، دادستان کل آمریکا گفت: «امروز ما یک گام فراتر می‌رویم و فردی را که ادعا می‌کنیم این طرح سایبری مخرب را توسعه داده و مدیریت کرده است، که بیش از 2000 قربانی را هدف قرار داده و بیش از 100 میلیون دلار پرداخت‌های باج‌افزار را به سرقت برده است، متهم می‌کنیم.» در اطلاعیه

به گفته وزارت دادگستری، خروشف اهل ورونژ، شهری در روسیه در حدود 300 مایلی جنوب مسکو است.

فیلیپ، دادستان ایالات متحده گفت: «دیمیتری خروشف Lockbit، پرکارترین نوع و گروه باج‌افزار در جهان را طراحی، توسعه و مدیریت کرد، که به خود و افراد وابسته‌اش این امکان را می‌دهد که ویران کنند و میلیاردها دلار خسارت به هزاران قربانی در سراسر جهان وارد کنند». R. Sellinger برای ناحیه نیوجرسی، جایی که خروسف در آن کیفرخواست صادر شد.

ائتلاف مجری قانون هویت LockBitSupp را در بیانیه‌های مطبوعاتی و همچنین در وب‌سایت تاریک اصلی LockBit که مقامات اوایل سال جاری کشف کردند، اعلام کرد. در این سایت، وزارت امور خارجه ایالات متحده برای اطلاعاتی که بتواند به مقامات در دستگیری و محکوم کردن خروشف کمک کند، جایزه 10 میلیون دلاری را اعلام کرد.

دولت ایالات متحده همچنین تحریم هایی را علیه خروشف اعلام کرد که عملاً هر کسی را از معامله با او منع می کند، مانند قربانیانی که باج می دهند. تحریم افراد پشت باج افزار، سود بردن از حملات سایبری را برای آنها دشوارتر می کند. نقض تحریم ها، از جمله پرداخت پول به هکر تحریم شده، می تواند منجر به جریمه های سنگین و پیگرد قانونی شود.

LockBit از سال 2020 فعال بوده است و به گفته آژانس امنیت سایبری ایالات متحده CISA، نوع باج افزار این گروه “بیشترین” در سال 2022 بود.

یوروپل که در عملیات اجرای قانون مشارکت داشت، در بیانیه ای گفت که مقامات اکنون بیش از 2500 کلید رمزگشایی دارند که می تواند به قربانیان کمک کند تا قفل داده هایی را که قبلاً توسط این باند رمزگذاری شده بودند، باز کنند.

NCA یک اینفوگرافیک در سایت توقیف شده LockBit منتشر کرد که شامل آماری از فعالیت های LockBit بود. بر اساس داده ها، این گروه بیش از 100 بیمارستان، شرکت مراقبت های بهداشتی و تاسیسات، از جمله یک بیمارستان کودکان را هدف قرار داده است. در آن صورت، LockBit گفت که حمله یک اشتباه بوده است و “شریک” مسئول حمله را مسدود می کند و کلیدهای رمزگشا را برای باز کردن قفل فایل ها ارائه می دهد. با این حال، به گفته NCA، “این یک دروغ بود”، زیرا شریک فعال باقی ماند و کلیدهای رمزگشا “به درستی کار نکردند.”

NCA به نوبه خود از خروشف دعوت کرد تا در صورت مخالفت با یافته های آنها با او تماس بگیرد. “خوش آمدید این کار را شخصا انجام دهید؟” NCA گفت.

روز یکشنبه، ائتلاف مجری قانون، وب‌سایت تاریک LockBit را بازیابی کرد تا فهرستی از پست‌هایی را منتشر کند که قصد داشتند آخرین افشاگری‌ها را اذیت کنند. در ماه فوریه، مقامات اعلام کردند که کنترل سایت LockBit را به دست گرفتند و پست های هکرها را با پست های خود جایگزین کردند، که شامل یک بیانیه مطبوعاتی و سایر اطلاعات مربوط به آنچه ائتلاف آن را “عملیات کرونوس” نامید.

مدت کوتاهی پس از آن، به نظر می‌رسد که LockBit با یک سایت جدید و لیست جدیدی از قربانیان ادعایی که از روز دوشنبه به‌روزرسانی می‌شد، بازگشت. به گفته یک محقق امنیتی که گروه را ردیابی می کند

برای هفته‌ها، رهبر LockBit، معروف به LockBitSupp، در تلاش برای رد کردن عملیات اجرای قانون و نشان دادن اینکه LockBit هنوز فعال است و قربانیان را هدف قرار می‌دهد، پر سر و صدا و علنی بود. در ماه مارس، LockBitSupp مصاحبه ای با خبرگزاری The Record انجام داد که در آن آنها ادعا کردند که عملیات Cronos و اقدامات مجری قانون “به هیچ وجه بر تجارت تأثیر نمی گذارد.”

“من از این به عنوان تبلیغات اضافی و فرصتی برای نشان دادن قدرت شخصیت خود به همه استفاده می کنم. نمی توانم مرعوب شوم. LockBitSupp به The Record گفت: چیزی که شما را نمی کشد، شما را قوی تر می کند.