De Oekraïense politie arresteert een verdachte die verband houdt met de ransomware-groepen LockBit en Conti

De cyberpolitie van Oekraïne heeft de arrestatie aangekondigd van een lokale man die ervan wordt verdacht zijn diensten te hebben aangeboden aan ransomwaregroepen LockBit en Conti.

De naamloze 28-jarige inwoner van de regio Charkov zou zich hebben gespecialiseerd in de ontwikkeling van crypters om kwaadaardige ladingen te versleutelen en te verdoezelen om detectie door beveiligingsprogramma's te omzeilen.

Er wordt aangenomen dat het product is aangeboden aan de ransomware-syndicaten Conti en LockBit, die vervolgens de crypter hebben gebruikt om de bestandsversleutelende malware te verhullen en succesvolle aanvallen uit te voeren.

“En eind 2021 infecteerden leden van de (Conti)-groep de computernetwerken van bedrijven in Nederland en België met verborgen malware”, aldus een vertaalde versie van de verklaring die het bureau heeft vrijgegeven.

Als onderdeel van het onderzoek voerden de autoriteiten huiszoekingen uit in Kiev en Charkov en namen ze computerapparatuur, mobiele telefoons en notebooks in beslag. Als de verdachte schuldig wordt bevonden, wordt een gevangenisstraf van maximaal 15 jaar verwacht.

Het nieuws over de arrestatie werd ook herhaald door de Nederlandse politie, die zei dat de persoon op 18 april 2024 was gearresteerd als onderdeel van Operatie Endgame.

“De Conti-groep heeft meerdere botnets ingezet die ook onderwerp van onderzoek waren binnen Operatie Endgame”, aldus de Politie eerder deze maand.

“Op deze manier kreeg de Conti-groep toegang tot de systemen van bedrijven. Door zich niet alleen te richten op de verdachten achter de botnets, maar ook op de verdachten achter de ransomware-aanvallen, krijgt deze vorm van cybercriminaliteit een grote klap.”

De afgelopen maanden hebben wetshandhavingsautoriteiten een reeks arrestaties en arrestaties verricht om cybercriminaliteit te bestrijden. Vorige maand kondigde het Amerikaanse ministerie van Justitie de arrestatie aan van een Taiwanese staatsburger genaamd Rui-Siang Lin in verband met zijn eigendom van een illegale drugsmarktplaats op het dark web, genaamd de Incognito Market.

Lin zou in 2021 ook een dienst hebben gelanceerd met de naam Antinalysis onder de alias Pharoah, een website die is ontworpen om blockchains te analyseren en gebruikers tegen betaling te laten controleren of hun cryptocurrency in verband kan worden gebracht met criminele transacties.

De darknet-bazaar trok eerder deze maart de aandacht toen de site offline ging in een soort exit-zwendel, om een ​​paar dagen later weer te verschijnen met een bericht waarin alle verkopers en kopers werden afgeperst en werd gedreigd met het publiceren van cryptocurrency-transacties en chatgegevens van gebruikers, tenzij ze betaalden ergens tussen de $ 100 en $ 20.000.

“Bijna vier jaar lang heeft Rui-Siang Lin naar verluidt ‘Incognito Market’ geëxploiteerd, een van de grootste online platforms voor de verkoop van verdovende middelen, waarbij hij $100 miljoen aan illegale verdovende middelentransacties uitvoerde en miljoenen dollars aan persoonlijke winsten binnenhaalde”, zegt James Smith, de adjunct-directeur. verantwoordelijk voor het veldkantoor van de FBI in New York, zei.

“Onder de belofte van anonimiteit bood Lin's vermeende operatie de aankoop van dodelijke medicijnen en frauduleuze voorgeschreven medicijnen op wereldschaal.”

Volgens gegevens verzameld door blockchain-analysebedrijf Chainalysis ontvingen darknet-markten en fraudewinkels in 2023 $1,7 miljard, wat wijst op een herstel ten opzichte van 2022 sinds de sluiting van Hydra begin dat jaar.

De ontwikkeling komt op het moment dat GuidePoint Security onthulde dat een huidig ​​filiaal van de RansomHub-ransomwaregroep, die voorheen een BlackCat-filiaal was, ook banden heeft met de beruchte Scattered Spider-bende op basis van overlappingen in waargenomen tactieken, technieken en procedures (TTP's).

Dit omvat het gebruik van social engineering-aanvallen om accountovernames te orkestreren door contact op te nemen met helpdeskpersoneel om het opnieuw instellen van accountwachtwoorden te initiëren en het aanvallen van CyberArk op diefstal van inloggegevens en zijdelingse verplaatsing.

“Gebruikerseducatie en processen die zijn ontworpen om de identiteit van bellers te verifiëren zijn de twee meest effectieve manieren om deze tactiek te bestrijden, die bijna altijd onopgemerkt zal blijven tenzij dit door werknemers wordt gerapporteerd”, aldus het bedrijf.

Thijs Van der Does