Anfang des Jahres übernahm eine internationale Koalition von Strafverfolgungsbehörden die Kontrolle über die Darknet-Site der berüchtigten Ransomware-Gang LockBit und ersetzte deren Inhalt durch die mittlerweile bekannte Meldung der Behörden: „Diese Site steht jetzt unter der Kontrolle der Strafverfolgungsbehörden.“ Die Operation störte die Arbeit der Gruppe nicht allzu lange, denn kurz nach der Abschaltung startete die Bande eine neue Site.
Doch dann, am 6. Mai, aktualisierten die Behörden die alte Seite von LockBit und kündigten an, dass sie die Identität des LockBit-Administrators preisgeben würden. „Wer ist LockBitSupp?“, stand in einem Feld auf der Website, das auch einen 24-Stunden-Countdown enthielt.
Wenn Cybersicherheitsforscher Jon DiMaggio Als er die Anzeige sah, fragte er sich sofort: Hat die Polizei denselben Kerl im Visier, den ich identifiziert habe?
In den letzten Jahren hatte DiMaggio, der als Forscher bei der Cybersicherheitsfirma Analyst1 arbeitet, eine Beziehung zu LockBitSupp aufgebaut – zunächst gab er sich als angehender Cyberkrimineller aus, der der Bande beitreten wollte, dann als er selbst. Und schließlich gelang es DiMaggio, die wahre Identität von LockBitSupp herauszufinden, bevor sie von den Behörden öffentlich gemacht wurde.
Am Freitag erzählte DiMaggio in einem Vortrag auf der Hackerkonferenz Def Con in Las Vegas die ganze Geschichte seiner Beziehung zu LockBitSupp und schilderte, wie er sein Vertrauen mithilfe einer erfundenen Identität gewann und die Beziehung auch nach DiMaggios Tod aufrechterhielt. öffentlich bekannt gegeben dass er die Bande infiltriert und LockBitSupp ausgetrickst habe, um ihm Einzelheiten der Operation preiszugeben.
„Unsere Beziehung hatte viele Höhen und Tiefen“, sagte DiMaggio während einer Vorschau auf seine Präsentation, die er Tech vor der Konferenz gab.
Zunächst erklärte DiMaggio, er habe eine Reihe von Sockenpuppenkonten erstellt, um Personen anzusprechen, die scheinbar direkte Beziehungen zu LockBitSupp hatten, und um ihre Interaktionen zu beobachten. Das Ziel in dieser Phase war es, eine Cyberkriminellen-Persona zu erschaffen, die eine Art Vergangenheit und Verbindungen in der Unterwelt hatte, was es einfacher machen würde, glaubwürdig zu wirken, wenn man sich direkt an LockBit und seinen Administrator wandte.
„Wichtig war dabei, die Gespräche zu überwachen, die irrelevant erschienen. Die, bei denen sie nicht auf der Hut waren und einfach nur mit anderen Hackern Scheiße redeten. So konnte ich sehen, was ihnen gefiel und was nicht. Es verschaffte mir einen gewissen Kontext zu ihren politischen Ansichten“, sagte DiMaggio. „All diese Dinge musste ich erst aufbauen, bevor ich mich einmischen konnte, denn wenn ich einfach loslegte und Fragen zu Angriffen und ihrer Durchführung stellte, wäre es ziemlich offensichtlich, dass ich ein Forscher bin.“
DiMaggio sagte, sein erster Versuch, der Bande beizutreten, sei abgelehnt worden, aber er habe weiter mit LockBitSupp gesprochen, mit dem er eine direkte und freundschaftliche Beziehung aufgebaut habe. Von da an, so DiMaggio, habe er sich auf LockBitSupp konzentriert, Witze mit ihm gemacht und beiläufig Fragen zu Einzelheiten seiner Operation gestellt, etwa zu verschiedenen Elementen und Arten von Angriffen, wie man zwischen ihnen auswählt, wie man mit Opfern verhandelt und wie man je nach Opferunternehmen die richtige Lösegeldforderung festlegt.
Dann, im Januar 2023, DiMaggio schrieb einen langen Bericht über seine Erkenntnisse während seiner verdeckten Recherchen und verbrannte im Wesentlichen alle seine falschen Cyberkriminellen-Identitäten. DiMaggio sagte, er dachte, dies wäre das Ende seiner Beziehung zu LockBitSupp. Stattdessen schien der kriminelle Anführer es auf die leichte Schulter genommen zu haben und postete in Foren, er wünschte, DiMaggio hätte ihn auf Yachten mit Frauen gezeigt, wie er sein Leben als erfolgreicher Cyberkrimineller genoss. Das allein war für DiMaggio interessant.
„Die Person, die ich kenne, ist zwar sicherlich geldgierig, aber sie ist keine protzige Person, sie ist nicht der Typ Mensch, von dem ich erwarten würde, dass er von materiellen Dingen besessen ist“, sagte DiMaggio. „Es gab also einen großen Unterschied zwischen seinem Verhalten und seiner Persönlichkeit, die er in diesen Foren präsentierte, und der Person, mit der ich persönlich gesprochen habe.“
Dann, so DiMaggio, begann LockBitSupp, sein LinkedIn-Foto als Avatar in Hackerforen zu verwenden, um sich über DiMaggio lustig zu machen. „Das war ein Katz-und-Maus-Spiel, und ehrlich gesagt hat LockBit das Spiel mit mir genauso genossen wie ich es mit ihnen gespielt habe“, sagte DiMaggio.
Irgendwann Anfang August letzten Jahres beschloss DiMaggio, LockBitSupp öffentlich zu trollen. Aus Spaß, Er postete auf X und behauptete, er würde neue Forschungsergebnisse veröffentlichen in die Ransomware-Gruppe ein und wenn LockBitSupp ihn stoppen wolle, könne er ihm 10 Millionen Dollar zahlen. Er ließ es so aussehen, als würde er versuchen, die Erpresser zu erpressen. Überraschenderweise schien es, als glaubten ihm einige Cyberkriminelle und befürchteten, dass sie enttarnt würden.
„Das zeigt einfach, dass man diese Typen aus psychologischer Sicht wirklich fertigmachen kann“, sagte DiMaggio. „Der mentale Aspekt dieser Operation ging viel weiter als alles andere, was ich getan habe.“
In der Zwischenzeit sagte DiMaggio, dass LockBitSupp für etwa 12 Tage offline war. Als er zurückkam, schien er verärgert zu sein, hörte aber nicht auf, mit ihm zu kommunizieren. Etwa zur gleichen Zeit, LockBit übernahm die Verantwortung für einen Cyberangriff auf ein kommunales Krankenhaus, das Kinder in Chicago behandelt, den zweiten Angriff auf ein Krankenhaus nach dem, der traf Torontos SickKids-Krankenhauseine weitere Einrichtung für Kinder.
Diese Angriffe, so DiMaggio, „haben mich wirklich, wirklich wütend gemacht“. Und sie hätten ihn beinahe dazu gebracht, eine wütende Nachricht an LockBitSupp zu schicken, in der er ihnen sagte, sie sollten sich „verpissen“ und dass er sie holen würde. Schließlich entschied er sich dagegen, weil „man keine emotionale Bindung zu seinem Ziel aufbauen kann“, so DiMaggio.
Dann schalteten die Strafverfolgungsbehörden die Website von LockBit ab und unterbrachen damit zumindest vorübergehend die Aktivitäten der Bande. DiMaggio sagte, er habe beschlossen, all seine Bemühungen auf die Identifizierung von LockBitSupp zu konzentrieren, die Nachricht in der Cybercrime-Unterwelt zu verbreiten und gemeinsam mit anderen Forschern den Anführer der Bande zu verfolgen.
„Zu diesem Zeitpunkt wusste LockBit, dass die Jagd begonnen hatte“, sagte DiMaggio.
Und diese Suche wurde durch einen anonymen Hinweis erleichtert, den jemand DiMaggio zukommen ließ. Der Informant, so DiMaggio, gab ihm eine Yandex-E-Mail-Adresse, die angeblich LockBitSupp gehörte. Mit diesem Hinweis als Ausgangspunkt konnte DiMaggio das Geheimnis um die Identität von LockBitSupp lüften, was ihn zu jemandem namens Dmitry Khoroshev führte. Doch so verlockend dieser Fund auch war, DiMaggio konnte sich nicht ganz sicher sein.
Doch dann geschah etwas, womit nicht einmal er gerechnet hatte. Die Behörden aktualisierten die beschlagnahmte LockBit-Website mit der Absicht, die Identität von LockBitSupp preiszugeben. DiMaggio sagte, dass er sich zu diesem Zeitpunkt an das FBI gewandt habe, mit dem er als Partner der Privatwirtschaft eine Beziehung unterhalte, und ihnen mitgeteilt habe, dass er Khoroshev als LockBit-Administrator identifiziert habe und dass er vorhabe, einen Bericht zu verfassen, der dies enthülle. Das Ziel, so DiMaggio, sei gewesen, das FBI zu fragen, ob er mit der Veröffentlichung seines Berichts warten solle oder nicht.
„Wenn sie mir gesagt hätten, ich solle warten, dann bestand eine ziemlich gute Chance, dass ich den richtigen Mann hatte. Wenn sie mir gesagt hätten, ich könne tun, was ich wollte, dann hätte ich wahrscheinlich trotzdem gewartet, weil ich vielleicht den falschen Mann hatte“, sagte DiMaggio, der hinzufügte, das FBI habe ihm gesagt, er solle warten.
DiMaggio war auf dem Weg zur RSA-Konferenz zur Cybersicherheit in San Francisco. „Ich packte meine Sachen, flog nach San Francisco, landete, ging ins Hotel und verbrachte den ganzen Tag und die ganze Nacht mit Arbeiten und Schreiben“, sagte DiMaggio. „Ich schrieb alles auf, was ich über Dmitry hatte. Und ich wollte warten, bis der Timer ablief. Und wenn sie es veröffentlichten, wollte ich meinen Bericht veröffentlichen, falls es derselbe Typ war.“
Als der 24-Stunden-Countdown wie versprochen Null erreichte, Angeklagter Dmitri Choroschew als Mastermind und Administrator von LockBit. Zu diesem Zeitpunkt könnte DiMaggio live gehen mit seinem eigenen Bericht Doxing von Choroschew.
„Das war das erste Mal, dass ich jemanden doxte. Und nun, sie veröffentlichten seinen Namen, ich veröffentlichte alles andere über diesen Kerl. Ich wusste, wo er wohnte, ich hatte seine Telefonnummern, aktuelle und frühere“, sagte DiMaggio. „Und Junge, es war schwierig, diesen Kerl nicht einfach anzurufen, da ich seine echte Telefonnummer vor der Anklage hatte, nur um zu sehen, ob ich den richtigen Mann hatte, aber das war nicht der Fall.“
DiMaggio veröffentlichte sogar eine Nachricht für Khorosehv, um sich zu verabschieden und ihm mitzuteilen, dass er ihn doxen müsse, bevor es andere täten.
„LockBitSupp, du bist ein schlauer Kerl. Du hast gesagt, es geht nicht mehr ums Geld, und du willst eine Million Opfer haben, bevor du aufhörst, aber manchmal muss man wissen, wann man aufhören muss. Es ist an der Zeit, mein alter Freund“, DiMaggio schrieb.
„Du warst immer ehrlich zu mir und ich möchte ehrlich zu dir sein. Nimm dein Geld und genieße dein Leben, bevor du in einer Situation landest, in der du das nicht mehr kannst. Genau wie REvil hast du die Dinge zu weit getrieben. Es ist Zeit, weiterzugehen. Ich hasse dich nicht; ich hasse, was du tust, und es hat mir keinen Spaß gemacht, dich heute zu kritisieren, weil wir uns schon lange kennen. Die Wahrheit ist, wenn ich das heute nicht getan hätte, hätte es jemand anderes getan. Ich habe zu viel Respekt vor dir als Gegner, um zuzusehen, wie du von irgendeinem Clown mit einem OSINT-Handbuch auseinandergenommen wirst, was alles wäre, was es jetzt, da deine Identität bekannt ist, tun würde. Angesichts unserer Geschichte musste es von mir kommen. Es ist Zeit, weiterzugehen“, schrieb er.
Seitdem, sagte DiMaggio, habe er nichts mehr von Khoroshev gehört.
Indem er offen über seine Operation sprach, sagte DiMaggio, er wolle zeigen, wie Forscher Informationen über Cyberkriminelle herausfinden können, indem sie deren Gruppen infiltrieren und nicht nur Daten von Hackern sammeln oder in Foren herumstöbern. DiMaggio sagte aber auch, er wolle Forschern klarmachen, dass sein Vorgehen Konsequenzen haben könnte, auch wenn er im Moment nur Gerüchte habe, dass Khoroshev Vergeltung üben wolle, obwohl nichts passiert sei.
„Niemand kommt ungeschoren davon“, sagte DiMaggio, „wenn man sich mit solchen Kriminellen anlegt.“