De identiteit van de leider van een van de meest beruchte ransomwaregroepen uit de geschiedenis is eindelijk onthuld.
Dinsdag maakte een wetshandhavingscoalitie onder leiding van de Britse National Crime Agency bekend dat de Russische staatsburger Dmitry Yuryevich Horoshev, 31, de persoon is achter de bijnaam LockBitSupp, de beheerder en ontwikkelaar van de LockBit-ransomware. Het Amerikaanse ministerie van Justitie kondigde ook een aanklacht aan tegen Khoroshev en beschuldigde hem van computermisdaad, fraude en afpersing.
“Vandaag gaan we nog een stap verder en beschuldigen we de persoon van wie we beweren dat hij dit kwaadaardige cyberplan heeft ontwikkeld en uitgevoerd, dat zich op meer dan 2.000 slachtoffers richtte en meer dan 100 miljoen dollar aan ransomware-betalingen stal”, zei procureur-generaal Merrick B. Garland. in de aankondiging.
Volgens de DOJ komt Chorosjev uit Voronezh, een stad in Rusland ongeveer 500 kilometer ten zuiden van Moskou.
“Dmitry Horoshev ontwierp, ontwikkelde en beheerde Lockbit, ‘s werelds meest productieve ransomwarevariant en -groep, waardoor hij en zijn dochterondernemingen grote schade konden aanrichten en miljarden dollars aan schade konden toebrengen aan duizenden slachtoffers wereldwijd”, aldus de Amerikaanse advocaat Philip R. Sellinger. District van New Jersey, waar Khoroshev werd beschuldigd.
De Law Enforcement Coalition maakte de identiteit van LockBitSuppa bekend in persberichten, evenals op de oorspronkelijke donkere website van LockBit, die eerder dit jaar door de autoriteiten in beslag werd genomen. Op de website kondigde het Amerikaanse ministerie van Buitenlandse Zaken een beloning van 10 miljoen dollar aan voor informatie die de autoriteiten zou kunnen helpen Horoshev te arresteren en te veroordelen.
De Amerikaanse regering kondigde ook sancties aan tegen Chorosjev, waardoor iedereen feitelijk wordt uitgesloten van transacties met hem, zoals slachtoffers van losgeld. Het sanctioneren van de mensen achter ransomware maakt het voor hen moeilijker om te profiteren van cyberaanvallen. Het overtreden van sancties, waaronder het betalen van een gesanctioneerde hacker, kan resulteren in hoge boetes en strafrechtelijke vervolging.
LockBit is actief sinds 2020 en volgens het Amerikaanse cybersecuritybureau CISA was de ransomwarevariant van de groep in 2022 het “meest ingezet”.
Zondag heeft een wetshandhavingscoalitie de in beslag genomen dark website van LockBit weer opgedoken om een lijst met berichten te publiceren die de laatste onthullingen zouden plagen. In februari maakten de autoriteiten bekend dat ze de controle over de website van LockBit hadden overgenomen en de berichten van de hacker hadden vervangen door hun eigen berichten, waaronder een persbericht en andere informatie over wat de coalitie ‘Operatie Cronos’ noemde.
Kort daarna leek LockBit terug te zijn met een nieuwe website en een nieuwe lijst met vermeende slachtoffers, die vanaf maandag werd bijgewerkt. aldus een veiligheidsonderzoeker die de groep volgt.
Wekenlang is de leider van LockBit, bekend als LockBitSupp, luidruchtig en publiekelijk geweest in zijn poging om de wetshandhavingsoperatie te verloochenen en te laten zien dat LockBit nog steeds actief is en zich op slachtoffers richt. In maart gaf LockBitSupp een interview aan The Record waarin ze beweerden dat Operatie Cronos en de acties van de wetshandhaving “op geen enkele manier invloed hebben op het bedrijfsleven”.
“Ik zie dit als een extra reclame en een kans om iedereen de kracht van mijn karakter te laten zien. Ik kan niet geïntimideerd worden. Wat je niet doodt, maakt je sterker”, vertelde LockBitSupp aan The Record.