Een nieuwe golf van internationale wetshandhavingsacties heeft geleid tot vier arrestaties en de verwijdering van negen servers die verband hielden met de LockBit (ook bekend als Bitwise Spider) ransomware-operatie, wat het laatste salvo markeert tegen wat ooit een productieve financieel gemotiveerde groep was.
Dit omvat de arrestatie van een vermoedelijke LockBit-ontwikkelaar in Frankrijk terwijl hij op vakantie was buiten Rusland, twee personen in Groot-Brittannië die naar verluidt een aangesloten onderneming steunden, en een beheerder van een kogelvrije hostingdienst in Spanje die door de ransomware-groep wordt gebruikt, zei Europol in een verklaring. .
Tegelijkertijd hebben de autoriteiten een Russische staatsburger genaamd Aleksandr Ryzhenkov (ook bekend als Beverley, Corbyn_Dallas, G, Guester en Kotosel) uitgelicht als een van de hooggeplaatste leden van de cybercriminaliteitsgroep Evil Corp, terwijl ze hem tegelijkertijd afschilderden als een aan LockBit gelieerde onderneming. Er zijn ook sancties aangekondigd tegen zeven personen en twee entiteiten die banden hebben met de e-crime-bende.
“De Verenigde Staten zullen, in nauwe samenwerking met onze bondgenoten en partners, onder meer via het Counter Ransomware Initiative, doorgaan met het ontmaskeren en verstoren van de criminele netwerken die persoonlijk gewin uit de pijn en het lijden van hun slachtoffers zoeken”, aldus waarnemend staatssecretaris van de VN. Schatkist voor terrorisme en financiële inlichtingen, Bradley T. Smith.
De ontwikkeling, onderdeel van een gezamenlijke oefening genaamd Operatie Cronos, komt bijna acht maanden nadat de online infrastructuur van LockBit in beslag werd genomen. Het volgt ook op de sancties die zijn opgelegd aan Dmitry Yuryevich Khoroshev, van wie werd onthuld dat hij de beheerder en persoon achter de persona “LockBitSupp” was.
In totaal zijn door Groot-Brittannië sancties opgelegd aan in totaal 16 personen die deel uitmaakten van Evil Corp. Ook Gold Drake en Indrik Spider genoemd, is de beruchte hackploeg sinds 2014 actief en richt zich op banken en financiële instellingen met als uiteindelijk doel de inloggegevens van gebruikers te stelen en financiële informatie om ongeautoriseerde geldoverdrachten te vergemakkelijken.
Er is eerder waargenomen dat de groep, verantwoordelijk voor de ontwikkeling en distributie van de Dridex-malware (ook bekend als Bugat), in 2022 LockBit en andere ransomware-varianten inzet om de sancties te omzeilen die in december 2019 tegen de groep zijn opgelegd, waaronder belangrijke leden Maksim Yakubets en Igor Toerasjev.
Ryzhenkov is door de Britse National Crime Agency (NCA) beschreven als de rechterhand van Yakubets, waarbij het Amerikaanse ministerie van Justitie (DoJ) hem ervan beschuldigt de BitPaymer-ransomware in te zetten om slachtoffers in het hele land te targeten sinds ten minste juni 2017.
“Ryzhenkov gebruikte de partnernaam Beverley, maakte meer dan 60 LockBit-ransomware-builds en probeerde minstens $100 miljoen van de slachtoffers af te persen door losgeld te eisen”, aldus functionarissen. “Ryzhenkov is bovendien gekoppeld aan de alias mx1r en geassocieerd met UNC2165 (een evolutie van aan Evil Corp aangesloten acteurs).”
Bovendien is Ryzhenkovs broer Sergey Ryzhenkov, van wie wordt aangenomen dat hij de online alias Epoch gebruikt, in verband gebracht met BitPaymer, volgens cyberbeveiligingsbedrijf Crowdstrike, dat de NCA bij deze poging heeft bijgestaan.
“Gedurende 2024 kreeg Indrik Spider initiële toegang tot meerdere entiteiten via de malwaredistributieservice Fake Browser Update (FBU), ” merkte het op. “De tegenstander werd voor het laatst gezien tijdens het inzetten van LockBit tijdens een incident dat plaatsvond in het tweede kwartaal van 2024.”
Opvallend onder de personen die aan sancties zijn onderworpen, zijn de vader van Yakubets, Viktor Yakubets, en zijn schoonvader, Eduard Benderskiy, een voormalig hooggeplaatste FSB-functionaris, die de diepe band tussen Russische cybercriminaliteitsgroepen en het Kremlin onderstrepen.
“De groep bevond zich in een bevoorrechte positie, waarbij sommige leden nauwe banden hadden met de Russische staat”, aldus de NCA. “Benderskiy was een belangrijke factor in hun relatie met de Russische inlichtingendiensten, die vóór 2019 Evil Corp de opdracht gaven cyberaanvallen en spionageoperaties tegen NAVO-bondgenoten uit te voeren.”
“Na de Amerikaanse sancties en aanklachten in december 2019 gebruikte Benderskiy zijn uitgebreide invloed bij de Russische staat om de groep te beschermen, zowel door hooggeplaatste leden veiligheid te bieden als door ervoor te zorgen dat ze niet werden achtervolgd door de Russische interne autoriteiten.”
