10 mln za rosyjskiego hakera. USA na tropie twórcy grupy LockBit

The Verge donosi, że Choroszew miał kluczowy wpływ na działania LockBit od momentu pojawiania się tej grupy we wrześniu 2019 roku. W trakcie zaledwie kilku lat działalności jej ofiarą padło ponad 2,5 tys. osób z co najmniej stu dwudziestu krajów. W efekcie przyniosło to grupie kierowanej przez Choroszewa dochody wynoszące co najmniej 500 milionów dolarów z okupów.

LockBit działał na zasadzie "ransomware jako usługi" (RaaS), umożliwiając cyberprzestępcom wynajmowanie oprogramowania do atakowania ofiar. Narzędziu udostępnionemu przez tę grupę przypisano kilka głośnych ataków, w tym na brytyjską pocztę, szpital dziecięcy oraz małe kanadyjskie miasto St. Marys w Ontario. Jak informuje The Verge, w lutym tego roku służby z USA i Wielkiej Brytanii przejęły strony internetowe i serwery używane przez LockBit, zdobywając klucze, które mogły pomóc odzyskać organizacjom dostęp do ich danych. Oprócz Choroszewa w stan oskarżenia zostali postawieni takze Artur Sungatowow i Iwan Kondratiewow za wykorzystywanie LockBit przeciwko ofiarom w USA.

Choroszew, który pobierał 20 proc. z każdego okupu i zarządzał stroną z wyciekami danych, jest teraz oskarżony o dwadzieścia sześć przestępstw, w tym spisek w celu oszustwa oraz ośmiokrotne wymuszenie zniszczenia komputera objętego ochroną prawną. Grozi mu za to wszystko łącza kara aż 185 lat więzienia. Departament Sprawiedliwości USA zaoferował także nagrodę w wysokości 10 milionów dolarów za informacje, które pomogą w jego ujęciu. Prokurator USA dla Dystryktu New Jersey Philip R. Sellinger podkreślił, że jest to ważny moment w dochodzeniu przeciwko członkom LockBit, w tym Choroszewowi, który przyczynił się do zakłócenia działalności tej grupy oraz doprowadził do procesu dwóch jej członków.

Mimo znaczących działań organów ścigania grupa ransomware LockBit nadal funkcjonuje. Niedawne skoordynowane działania FBI i Europolu, miały na celu zdemontowanie infrastruktury grupy i zakłócenie jej operacji. Obejmowały one przejęcie serwerów, przechwycenie kluczowych komponentów infrastruktury oraz przekształcenie strony grupy z wyciekami danych w portal prasowy organów ścigania. Wszystko to pozwoliło w poważny sposób zakłócić funkcjonowanie Lockbit.

Podczas operacji zlikwidowano infrastrukturę online grupy, co obejmowało m.in. serwery w Stanach Zjednoczonych. Równocześnie ofiarom ransomware udostępniono klucze dekodujące, co umożliwiło odzyskanie zaszyfrowanych danych bez płacenia okupu. Niestety, mimo tych działań, niektóre z witryn dark web używanych przez grupę nadal pozostają aktywne, a szkody spowodowane przez wcześniejsze ataki są już nieodwracalne.

źródło: The Verge