Am Dienstag enthüllten US-amerikanische und britische Behörden, dass der Drahtzieher hinter LockBit, einer der produktivsten und schädlichsten Ransomware-Gruppen in der Geschichte, ein 31-jähriger Russe namens Dmitry Yuryevich Khoroshev, auch bekannt als „LockbitSupp“, ist.
Wie es bei solchen Ankündigungen üblich ist, veröffentlichten die Strafverfolgungsbehörden Bilder von Khoroshev sowie Einzelheiten über die Operationen seiner Gruppe. Das US-Justizministerium berechnet Khoroshev wegen mehrerer Computerkriminalität, Betrug und Erpressung. Dabei enthüllten die Behörden auch einige Details über die früheren Operationen von LockBit.
Anfang des Jahres beschlagnahmten die Behörden die Infrastruktur von LockBit und die Datenbestände der Bande und enthüllten wichtige Details der Funktionsweise von LockBit.
Heute liegen uns weitere Einzelheiten über das vor, was die Bundesbehörden als „eine riesige kriminelle Organisation, die zeitweise als die produktivste und zerstörerischste Ransomware-Gruppe der Welt gilt“ bezeichneten.
Hier ist, was wir daraus gelernt haben die Anklage gegen Choroshev.
Khoroshev hatte einen zweiten Spitznamen: Putinkrab
Der Anführer von LockBit war öffentlich unter dem nicht sehr einfallsreichen Spitznamen LockBitSupp bekannt. Aber Khoroshev hatte auch eine andere Online-Identität: Putinkrab. Die Anklageschrift enthält keine Informationen über den Online-Namen, obwohl sie sich offenbar auf den russischen Präsidenten Wladimir Putin bezieht. Im Internet gibt es jedoch mehrere Profile, die denselben Spitznamen verwenden Flickr, YoutubeUnd Redditobwohl unklar ist, ob diese Konten von Khoroshev geführt wurden.
Auch in Russland traf LockBit Opfer
Experten zufolge gibt es in der Welt der russischen Cyberkriminalität eine heilige, ungeschriebene Regel: Hacken Sie jeden außerhalb Russlands, und die örtlichen Behörden lassen Sie in Ruhe. Überraschenderweise haben Khoroshev und seine Mitverschwörer nach Angaben der Regierung „LockBit auch gegen mehrere russische Opfer eingesetzt“.
Es bleibt abzuwarten, ob dies bedeutet, dass die russischen Behörden gegen Choroschew vorgehen werden, aber zumindest wissen sie jetzt, wer er ist.
Khoroshev behielt seine Verbündeten im Auge
Ransomware-Operationen wie LockBit werden als Ransomware-as-a-Service bezeichnet. Das heißt, es gibt Entwickler, die die Software und die Infrastruktur erstellen, wie Khoroshev, und dann gibt es Tochtergesellschaften, die die Software betreiben und einsetzen, Opfer infizieren und Lösegeld erpressen. Die Bundesbehörden behaupteten, die Mitgliedsorganisationen zahlten Khoroshev etwa 20 % ihrer Verfahrenskosten.
Der Anklageschrift zufolge ermöglichte dieses Geschäftsmodell Khoroshev, seine Partner „genau“ zu überwachen, einschließlich des Zugangs zu Opferverhandlungen und der teilweisen Teilnahme daran. Khoroshev „verlangte sogar Ausweisdokumente von seinem Partner Coconspirators, die er auch auf seiner Infrastruktur aufbewahrte.“ Auf diese Weise konnten die Strafverfolgungsbehörden wahrscheinlich einige der mit Lockbit verbundenen Unternehmen identifizieren.
Khoroshev entwickelte außerdem ein Tool namens „StealBit“, das die Haupt-Ransomware ergänzte. Dieses Tool ermöglichte es Partnern, von Opfern gestohlene Daten auf den Servern von Khoroshev zu speichern und sie manchmal auf der offiziellen Dark-Web-Leak-Site von LockBit zu veröffentlichen.
Die Ransomware-Zahlungen von LockBit beliefen sich auf rund 500 Millionen US-Dollar
LockBit wurde 2020 ins Leben gerufen, und seitdem haben seine Tochtergesellschaften erfolgreich mindestens etwa 500 Millionen US-Dollar von etwa 2.500 Opfern erpresst, darunter „große multinationale Konzerne bis hin zu kleinen Unternehmen und Einzelpersonen, darunter Krankenhäuser, Schulen, gemeinnützige Organisationen, kritische Infrastruktureinrichtungen usw.“ Regierung und Strafverfolgungsbehörden.“
Abgesehen von den Lösegeldzahlungen verursachte LockBit „weltweit Schäden in Höhe von Milliarden US-Dollar“, weil die Bande den Betrieb der Opfer störte und viele dazu zwang, für Vorfallreaktions- und Wiederherstellungsdienste zu zahlen, behaupteten die Behörden.
Khoroshev nahm Kontakt zu den Behörden auf, um einige seiner Partner zu identifizieren
Die wahrscheinlich schockierendste der jüngsten Enthüllungen: Im Februar, nachdem die Koalition globaler Strafverfolgungsbehörden die Website und Infrastruktur von LockBit abgeschaltet hatte, „kommunizierte Khoroshev mit den Strafverfolgungsbehörden und bot seine Dienste im Austausch für Informationen über seine Identität an.“ [ransomware-as-a-service] Konkurrenten.“
Der Anklageschrift zufolge forderte Khoroshev die Strafverfolgungsbehörden auf, „[g]Gib mir die Namen meiner Feinde.