De Britse National Crime Agency (NCA) heeft de beheerder en ontwikkelaar van de LockBit-ransomware-operatie ontmaskerd en onthuld dat het een 31-jarige Russische staatsburger is, genaamd Dmitry Yuryevich Chorosjev.
Bovendien heeft Khoroshev sancties gekregen van het Britse Foreign, Commonwealth and Development Office (FCD), het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën en het Australische ministerie van Buitenlandse Zaken.
Europol zei in een persverklaring dat de autoriteiten in het bezit zijn van meer dan 2.500 decoderingssleutels en contact blijven opnemen met LockBit-slachtoffers om ondersteuning te bieden.
Khoroshev, die de bijnamen LockBitSupp en putinkrab droeg, is ook het onderwerp geworden van bevriezing van tegoeden en reisverboden, waarbij het Amerikaanse ministerie van Buitenlandse Zaken een beloning van maximaal $ 10 miljoen uitlooft voor informatie die tot zijn arrestatie en/of veroordeling leidt.
Eerder had het bureau beloningsaanbiedingen aangekondigd van maximaal $ 15 miljoen voor het zoeken naar informatie die zou leiden tot de identiteit en locatie van de belangrijkste leiders van de LockBit-ransomwarevariantgroep, evenals naar informatie die zou leiden tot de arrestaties en/of veroordelingen van de leden van de groep.
Tegelijkertijd heeft een aanklacht die door het Ministerie van Justitie (DoJ) is onthuld, Khoroshev aangeklaagd voor 26 aanklachten, waaronder één aanklacht wegens samenzwering om fraude, afpersing en aanverwante activiteiten in verband met computers te plegen; één aanklacht wegens samenzwering om draadfraude te plegen; acht tellingen van opzettelijke schade aan een beschermde computer; acht gevallen van afpersing met betrekking tot vertrouwelijke informatie van een beveiligde computer; en acht gevallen van afpersing in verband met schade aan een beschermde computer.
In totaal staat er op de aanklachten een maximumstraf van 185 jaar gevangenisstraf. Op elk van de aanklachten staat verder een geldboete van maximaal $ 250.000, geldelijke winst voor de overtreder of geldelijke schade voor het slachtoffer.
Met de laatste aanklacht zijn in totaal zes leden die betrokken zijn bij de LockBit-samenzwering aangeklaagd, waaronder Michail Vasiliev, Michail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov en Ivan Kondratyev.
“De aankondiging van vandaag slaat opnieuw een grote spijker in de kist van LockBit en ons onderzoek ernaar gaat door”, zei NCA-directeur-generaal Graeme Biggar. “We richten ons nu ook op partners die LockBit-services hebben gebruikt om verwoestende ransomware-aanvallen uit te voeren op scholen, ziekenhuizen en grote bedrijven over de hele wereld.”
LockBit, een van de meest productieve ransomware-as-a-service (RaaS)-groepen, werd eerder deze februari ontmanteld als onderdeel van een gecoördineerde operatie genaamd Cronos. Er wordt geschat dat het wereldwijd meer dan 2.500 slachtoffers heeft getroffen en meer dan 500 miljoen dollar aan losgeld heeft ontvangen.
“LockBit-ransomware is gebruikt tegen Australische, Britse en Amerikaanse bedrijven, goed voor 18% van de totale gerapporteerde Australische ransomware-incidenten in 2022-2023 en 119 gerapporteerde slachtoffers in Australië”, aldus Penny Wong, minister van Buitenlandse Zaken van Australië.
Volgens het RaaS-bedrijfsmodel geeft LockBit zijn ransomwaresoftware in licentie aan aangesloten bedrijven in ruil voor een korting van 80% op het betaalde losgeld. De e-crime-groep staat ook bekend om zijn dubbele afpersingstactieken, waarbij gevoelige gegevens uit slachtoffernetwerken worden geëxfiltreerd voordat de computersystemen worden gecodeerd en losgeld wordt geëist.
Khoroshev, die LockBit rond september 2019 oprichtte, zou de afgelopen vier jaar minstens $ 100 miljoen aan uitbetalingen hebben ontvangen als onderdeel van het plan.
“De werkelijke impact van de criminaliteit van LockBit was voorheen onbekend, maar uit gegevens verkregen van hun systemen bleek dat tussen juni 2022 en februari 2024 meer dan 7.000 aanvallen werden uitgevoerd met behulp van hun diensten”, aldus de NCA. “De vijf meest getroffen landen waren de VS, Groot-Brittannië, Frankrijk, Duitsland en China.”
De pogingen van LockBit om weer boven water te komen na de wetshandhavingsactie zijn op zijn best niet succesvol geweest, wat ertoe heeft geleid dat het oude en nep-slachtoffers op zijn nieuwe dataleksite heeft geplaatst.
“LockBit heeft een nieuwe leksite gecreëerd waarop ze de schijnbare activiteit hebben opgeblazen door slachtoffers te publiceren die het doelwit waren voordat de NCA in februari de controle over haar diensten overnam, en door de eer op te eisen voor aanvallen die zijn gepleegd met andere ransomware-varianten”, merkte het bureau op.
Het RaaS-plan omvatte naar schatting tot 24 februari 194 aangesloten bedrijven, waarvan 148 aanvallen uitvoerden en 119 losgeldonderhandelingen voerden met slachtoffers.
“Van de 119 die de onderhandelingen zijn begonnen, zijn er 39 die nooit een losgeldbetaling lijken te hebben ontvangen”, aldus de NCA. “Vijfenzeventig hebben niet deelgenomen aan enige onderhandeling en lijken dus ook geen losgeld te hebben ontvangen.”
Het aantal actieve LockBit-filialen is sindsdien gedaald tot 69, aldus de NCA, en voegde eraan toe dat LockBit niet routinematig gestolen gegevens verwijderde zodra er losgeld was betaald en dat het talloze gevallen aan het licht bracht waarin de decryptor die aan de slachtoffers werd verstrekt niet werkte zoals verwacht.
“Als kernleider van de LockBit-groep en ontwikkelaar van de LockBit-ransomware heeft Khoroshev een verscheidenheid aan operationele en administratieve rollen vervuld voor de cybercriminaliteitsgroep en heeft hij financieel geprofiteerd van de LockBit-ransomware-aanvallen”, aldus het Amerikaanse ministerie van Financiën.
“Khoroshev heeft de upgrade van de LockBit-infrastructuur gefaciliteerd, nieuwe ontwikkelaars voor de ransomware gerekruteerd en LockBit-filialen beheerd. Hij is ook verantwoordelijk voor de inspanningen van LockBit om de activiteiten voort te zetten na de verstoring ervan door de VS en zijn bondgenoten eerder dit jaar.”
