Letse hacker uitgeleverd aan VS voor rol in Karakurt cybercrimegroep

Een 33-jarige Letse staatsburger die in Moskou, Rusland woont, is in de VS aangeklaagd voor vermeende diefstal van gegevens, afpersing van slachtoffers en het witwassen van losgeldbetalingen sinds augustus 2021.

Deniss Zolotarjovs (aka Sforza_cesarini) is aangeklaagd voor samenzwering om witwassen, telefraude en Hobbs Act-afpersing te plegen. Hij werd in december 2023 in Georgia gearresteerd en is sindsdien deze maand uitgeleverd aan de VS.

“Zolotarjovs is lid van een bekende cybercriminele organisatie die computersystemen van slachtoffers over de hele wereld aanvalt”, aldus het Amerikaanse ministerie van Justitie (DoJ) in een persbericht deze week.

“De Russische cybercrimegroep steelt onder andere gegevens van slachtoffers en dreigt deze vrij te geven tenzij het slachtoffer losgeld betaalt in cryptovaluta. De groep onderhoudt een website met lekken en veilingen waarop bedrijven van slachtoffers worden vermeld en gestolen gegevens worden aangeboden om te downloaden.”

Er wordt aangenomen dat Zolotarjovs een actief lid was van de e-crimegroep. Hij werkte samen met andere leden van de bende en was verantwoordelijk voor het witwassen van losgeld dat hij van zijn slachtoffers ontving.

Hoewel het Amerikaanse ministerie van Justitie de naam van het cybercriminele syndicaat niet noemde, wordt de verdachte in een klacht die op 28 november 2023 bij de Amerikaanse districtsrechtbank is ingediend, in verband gebracht met een bende die zich bezighoudt met gegevensafpersing en die bekendstaat als Karakurt. Deze bende ontstond als een splintergroep na de repressie tegen Conti in 2022.

“Uit nadere analyse van Sforza’s communicatie (op Rocket.Chat) bleek dat Sforza verantwoordelijk leek te zijn voor het voeren van onderhandelingen over de coldcase-afpersing van slachtoffers van Karakurt, evenals voor open-sourceonderzoek om telefoonnummers, e-mailadressen en andere accounts te identificeren waarmee slachtoffers konden worden gecontacteerd en onder druk konden worden gezet om losgeld te betalen of opnieuw deel te nemen aan een chat met de ransomwaregroep”, aldus de Federal Bureau of Investigation (FBI).

“Sforza besprak ook pogingen om betaalde journalisten te rekruteren om nieuwsartikelen over slachtoffers te publiceren, om de slachtoffers ervan te overtuigen Karakurts afpersingseisen serieus te nemen.”

De FBI merkte in haar klacht op dat ze de online alias “Sforza_cesarini” aan Deniss Zolotarjovs kon koppelen door Bitcoin-overschrijvingen uit september 2021 te traceren vanuit een cryptocurrency-wallet die was geregistreerd bij een Apple iCloud-account.

De wetshandhavingsinstantie zei verder dat een deel van de illegale opbrengsten via verschillende adressen werd witgewassen voordat ze op een stortingsadres terechtkwamen dat aan Garantex was gekoppeld, specifiek een Bitcoin24.pro-account met hetzelfde e-mailadres. Dit was voor de instantie aanleiding om in september 2023 een huiszoekingsbevel uit te vaardigen aan Apple om de aan het e-mailadres gekoppelde gegevens te verkrijgen.

Volgens de informatie die de techgigant deelde, meldde de FBI dat het Rocket.Chat instant messaging-account met ID “Sforza_cesarini” “op of rond dezelfde tijden en bij meerdere gelegenheden werd benaderd door dezelfde IP-adressen als die welke werden gebruikt om dennis.zolotarjov@icloud(.)com te benaderen.”

Zolotarjovs is het eerste vermeende lid van de Karakurt-groep dat is gearresteerd en uitgeleverd aan de VS. Deze gebeurtenis zou de weg kunnen vrijmaken voor de identificatie en vervolging van meer leden in de toekomst.

“Karakurt-acteurs hebben werknemers, zakenpartners en cliënten van slachtoffers benaderd met intimiderende e-mails en telefoontjes om de slachtoffers onder druk te zetten om mee te werken,” zei de Amerikaanse overheid vorig jaar in een bulletin. “De e-mails bevatten voorbeelden van gestolen gegevens, zoals burgerservicenummers, betaalrekeningen, e-mails van privébedrijven en gevoelige bedrijfsgegevens van werknemers of cliënten.”

Thijs Van der Does