Identiteit van LockBit-leider onthuld: legitiem of trol?

Identiteit van LockBit-leider onthuld: legitiem of trol?

Lockbit wordt algemeen erkend als een van de meest productieve ransomwaregroepen ter wereld en dook in 2019 voor het eerst op als ABCD-ransomware. Sinds de eerste detectie heeft de ‘ransomware-as-a-service’-groep twee belangrijke updates voor de ransomware uitgebracht. De bende was gecrediteerd voor bijna 21% van alle ransomware-aanvallen in 2023. Het is bekend dat de LockBit-ransomware op verschillende manieren toegang krijgt. Deze omvatten het exploiteren van kwetsbare Remote Desktop Protocol (RDP)-servers of het kopen van gecompromitteerde inloggegevens van hun dochterondernemingen. Bovendien is het bekend dat ze worden gebruikt Phishing e-mails met kwaadaardige bijlagen of links, evenals brute forcerende zwakke RDP-inloggegevens. Zodra de malware toegang krijgt tot de machine van het slachtoffer en de bevoegdheden escaleert, vervangt de malware de bureaubladachtergrond door een losgeldbriefje.

Met meer dan 2000 slachtoffers en bijna een half miljard dollar afgeperst, staat de ransomwarebende al een tijdje op de radar van verschillende wetshandhavingsinstanties. Op 19 februari 2024 nam de National Crime Agency, als onderdeel van Operatie Cronos, samen met Europol en andere internationale wetshandhavingsinstanties de controle over darknet-websites over die toebehoorden aan de LockBit-ransomwarebende. Na de succesvolle verwijdering van 34 servers in verschillende landen in Europa en de VS, werd een decryptor ontwikkeld voor LockBit 3.0 en beschikbaar gesteld voor gratis gebruik. De groep is veerkrachtig gebleken en de malware verspreidt zich nog steeds vanaf 22 februari 2024. 

Op 7 mei 2023 maakte het Amerikaanse ministerie van Justitie de leider van de Lockbit-ransomwaregroep bekend. Het DoJ, geïdentificeerd als de Russische staatsburger genaamd Dmitry Khoroshev, heeft een sanctie opgelegd aan de vermeende leider van de groep en heeft tot $10,000,000 aan beloningen aangeboden voor informatie leiden tot zijn arrestatie of veroordeling. Ook bekend onder de naam LockBitSupp, omvatten de acties tegen Khoroshev het bevriezen van tegoeden en reisverboden. In de aanklachten tegen Khoroshev wordt hem sinds september 2019 genoemd als de ontwikkelaar en beheerder van LockBit. De groep heeft echter verschillende verklaringen vrijgegeven waarin wordt beweerd dat de FBI liegt. De groepsleider had eerder in februari beweerd dat de toegang van de overheid tot de activiteiten van LockBit grotendeels overdreven was. In een verklaring aan een X-account (voorheen Twitter). vx-ondergronds, zei de beheerder van de bende: 'Ik begrijp niet waarom ze deze kleine show opvoeren. Ze zijn duidelijk boos dat we blijven werken.” Nadat de vermeende identiteit van de LockBit-leider was onthuld, legde de groep een verklaring af tegenover de FBI waarin ze zeiden dat ze de verkeerde persoon hadden.

Sinds het begin van 'Operatie Cronos' zijn verschillende personen gearresteerd wegens vermeende banden met de LockBit-bende. Een vader-zoonduo was dat gearresteerd in Polen en Oekraïne in februari 2024 wegens banden met de bende. In 2023 hebben de VS ook een aantal Russische staatsburgers gearresteerd en aangeklaagd wegens betrokkenheid bij LockBit, waaronder Mikhail Matveev, ook bekend als Wazawaka, m1x, en Boriselcin (mei 2023), en Mikhail Vasiliev (november XNUMX). 2022).

Het uitschakelen van de LockBit-ransomware-operatie door internationale wetshandhavingsinstanties is een belangrijke prestatie in de strijd tegen cybercriminaliteit. Hoewel de leider van de groep en enkele leden ervan zijn geïdentificeerd en gearresteerd, valt nog te bezien of de groep volledig zal worden ontmanteld. De groep bleef echter beweren dat de autoriteiten de verkeerde persoon hadden, wat een schaduw van twijfel werpt over de ware identiteit van de leider van de bende.