O mentor do ransomware LockBitSupp revelou seu anonimato – agora ele foi identificado

Desde pelo menos 2019, uma figura sombria escondida atrás de vários pseudônimos tem se vangloriado publicamente de extorquir milhões de dólares de milhares de vítimas que ele e seus associados hackearam. Agora, pela primeira vez, “LockBitSupp” foi desmascarado por uma equipe internacional de aplicação da lei e uma recompensa de US$ 10 milhões foi colocada por sua prisão.

Numa acusação revelada na terça-feira, os procuradores federais dos EUA desmascararam a personalidade extravagante de Dmitry Yuryevich Khoroshev, um cidadão russo de 31 anos. Os promotores disseram que durante seus cinco anos à frente do LockBit – um dos grupos de ransomware mais prolíficos – Khoroshev e seus subordinados extorquiram US$ 500 milhões de cerca de 2.500 vítimas, cerca de 1.800 das quais estavam localizadas nos EUA. Sua parte da receita foi supostamente de cerca de US$ 100 milhões.

Danos na casa dos bilhões de dólares

“Além dos pagamentos e exigências de resgate, os ataques LockBit também interromperam gravemente as operações de suas vítimas, causando perda de receitas e despesas associadas à resposta e recuperação de incidentes”, escreveram os promotores federais. “Com essas perdas incluídas, a LockBit causou danos em todo o mundo, totalizando bilhões de dólares americanos. Além disso, os dados que Khoroshev e seus co-conspiradores afiliados à LockBit roubaram – contendo informações organizacionais e pessoais altamente confidenciais – permaneceram inseguros e comprometidos para sempre, apesar das falsas promessas de Khoroshev e seus co-conspiradores em contrário.”

A acusação acusa o cidadão russo de uma acusação de conspiração para cometer fraude, extorsão e atividades relacionadas relacionadas com computadores, uma acusação de conspiração para cometer fraude eletrônica, oito acusações de danos intencionais a um computador protegido, oito acusações de extorsão em relação a informações confidenciais de um computador protegido e oito acusações de extorsão em relação a danos a um computador protegido. Se condenado, Khoroshev enfrentará uma pena máxima de 185 anos de prisão.

Além da acusação, funcionários do Departamento do Tesouro dos EUA – juntamente com homólogos do Reino Unido e da Austrália – anunciaram sanções contra Khoroshev. Entre outras coisas, as sanções dos EUA permitem que as autoridades imponham sanções civis a qualquer pessoa dos EUA que faça ou facilite pagamentos ao grupo LockBit. O Departamento de Estado dos EUA também anunciou uma recompensa de US$ 10 milhões por qualquer informação que leve à prisão e/ou condenação de Khoroshev.

Enraizando o LockBit

As ações de terça-feira ocorrem 11 semanas depois que as agências de aplicação da lei nos EUA e em 10 outros países desferiram um grande golpe na infraestrutura que os membros do LockBit usavam para operar sua empresa de ransomware como serviço. Imagens que autoridades federais postaram no dark web site onde o LockBit nomeou e envergonhou as vítimas indicaram que haviam assumido o controle de /etc/shadow, um arquivo Linux que armazena senhas com hash criptográfico. O arquivo, um dos mais sensíveis à segurança no Linux, pode ser acessado apenas por um usuário com root, o mais alto nível de privilégios de sistema.

Ao todo, disseram as autoridades em fevereiro, eles assumiram o controle de 14.000 contas associadas ao LockBit e 34 servidores localizados na Holanda, Alemanha, Finlândia, França, Suíça, Austrália, EUA e Reino Unido. Dois suspeitos de LockBit foram presos na Polônia e na Ucrânia, e cinco acusações e três mandados de prisão foram emitidos. As autoridades também congelaram 200 contas de criptomoedas vinculadas à operação de ransomware. A Agência Nacional do Crime do Reino Unido disse na terça-feira que o número de afiliados ativos da LockBit caiu de 114 para 69 desde a ação de fevereiro, chamada Operação Cronos.

Em meados de março, um homem de Ontário, Canadá, condenado por trabalhar para a LockBit foi sentenciado a quatro anos de prisão. Mikhail Vasiliev, 33 anos no momento da sentença, foi preso em novembro de 2022 e acusado de conspirar para infectar computadores protegidos com ransomware e enviar pedidos de resgate às vítimas. Ele se declarou culpado em fevereiro de oito acusações de extorsão cibernética, danos e acusações de armas.

A identidade do mundo real do alter ego LockBitSupp de Khoroshev tem sido muito procurada há anos. LockBitSupp prosperou com seu anonimato em postagens frequentes em fóruns de hackers de língua russa, onde se gabava da habilidade e perspicácia de seu trabalho. A certa altura, ele prometeu uma recompensa de US$ 10 milhões para quem revelasse sua identidade. Após a operação de fevereiro que derrubou grande parte da infraestrutura do LockBit, os promotores deram a entender que sabiam quem era o LockBitSupp, mas não chegaram a nomeá-lo.

LockBit está em operação desde pelo menos 2019 e também era conhecido pelo nome “ABCD” no passado. Três anos após sua fundação, o malware do grupo era o ransomware de maior circulação. Como a maioria de seus pares, o LockBit opera sob o que é conhecido como ransomware como serviço, no qual fornece software e infraestrutura para afiliados que o utilizam para realizar o hacking real. A LockBit e as afiliadas dividem então qualquer receita resultante.

História atualizada para corrigir a idade de Khoroshev. Inicialmente, o Departamento de Estado disse que a data de seu nascimento era 17 de abril de 1973. Mais tarde, a agência disse que era 17 de abril de 1993.

Esta notícia foi publicada originalmente na URL: https://arstechnica.com/security/2024/05/the-mastermind-of-the-prolific-ransomware-group-lockbit-has-finally-been-unmasked/