Национальное агентство по борьбе с преступностью Великобритании (NCA) разоблачило администратора и разработчика программы-вымогателя LockBit, выяснив, что это 31-летний гражданин России по имени Дмитрий Юрьевич Хорошев.
Кроме того, Хорошев был подвергнут санкциям со стороны Министерства иностранных дел, по делам Содружества и развития Великобритании (FCD), Управления по контролю за иностранными активами Министерства финансов США (OFAC) и Министерства иностранных дел Австралии.
Европол в заявлении для прессы заявил, что власти располагают более чем 2500 ключами дешифрования и продолжают связываться с жертвами LockBit, чтобы предложить поддержку.
Хорошев, известный под псевдонимами LockBitSupp и putinkrab, также стал объектом замораживания активов и запрета на поездки, а Государственный департамент США предложил вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к его аресту и / или осуждению.
Ранее агентство объявило о вознаграждении в размере до 15 миллионов долларов за информацию, ведущую к установлению личности и местонахождения ключевых лидеров группы LockBit ransomware variant, а также за информацию, ведущую к арестам и / или осуждению членов группы.
Одновременно Министерство юстиции США обнародовало обвинительный акт, в котором предъявило Хорошеву обвинение по 26 пунктам, включая один пункт в сговоре с целью совершения мошенничества, вымогательства и связанной с ним деятельности, связанной с компьютерами; один пункт в сговоре с целью совершения мошенничества по электронной почте; восемь пунктов в умышленном повреждении защищенного компьютера; восемь пунктов в вымогательстве конфиденциальной информации с защищенного компьютера; и восемь пунктов в вымогательстве в связи с повреждением защищенного компьютера.
В целом, по предъявленным обвинениям максимальное наказание составляет 185 лет тюремного заключения. Каждое из обвинений дополнительно влечет за собой денежный штраф в размере 250 000 долларов, материальную выгоду преступнику или материальный вред жертве.
Согласно последнему обвинительному заключению, обвинения предъявлены в общей сложности шести членам, связанным с заговором LockBit, в том числе Михаилу Васильеву, Михаилу Матвееву, Руслану Магомедовичу Астамирову, Артуру Сунгатову и Ивану Геннадьевичу Кондратьеву.
"Сегодняшнее объявление вбивает еще один огромный гвоздь в крышку гроба LockBit, и наше расследование в отношении них продолжается", - сказал генеральный директор NCA Грэм Биггар. "Теперь мы также нацелены на аффилированных лиц, которые использовали сервисы LockBit для нанесения разрушительных атак с помощью программы-вымогателя на школы, больницы и крупные компании по всему миру".
LockBit, которая была одной из самых плодовитых групп по распространению программ-вымогателей (RaaS), была ликвидирована в рамках скоординированной операции, получившей название Cronos, ранее в феврале этого года. По оценкам, она была нацелена на более чем 2500 жертв по всему миру и получила более 500 миллионов долларов выкупа.
"Программа-вымогатель LockBit использовалась против предприятий Австралии, Великобритании и США, что составило 18% от общего числа зарегистрированных случаев вымогательства в Австралии в 2022-23 годах и 119 зарегистрированных жертв в Австралии", - сказала Пенни Вонг, министр иностранных дел Австралии.
В соответствии с бизнес-моделью RaaS, LockBit лицензирует свое программное обеспечение-вымогатель аффилированным лицам в обмен на сокращение выплачиваемых выкупов на 80%. Группа электронных преступников также известна своей тактикой двойного вымогательства, при которой конфиденциальные данные удаляются из сетей жертв, прежде чем зашифровать компьютерные системы и потребовать выплаты выкупа.
Считается, что Хорошев, основавший LockBit примерно в сентябре 2019 года, заработал не менее 100 миллионов долларов в виде выплат в рамках схемы за последние четыре года.
Интересным поворотом является то, что в обвинительном заключении также обвиняется Хорошев и его сообщники в использовании LockBit против нескольких российских жертв, заявляя, что обвиняемый потребовал документы, удостоверяющие личность, у завербованных аффилированных лиц и даже связался с правоохранительными органами после демонтажа, чтобы предоставить информацию о личности своих конкурентов по RaaS.
"Истинное влияние преступности LockBit ранее было неизвестно, но данные, полученные из их систем, показали, что в период с июня 2022 по февраль 2024 года с использованием их сервисов было совершено более 7000 атак", - заявили в NCA. "В первую пятерку стран, подвергшихся атаке, вошли США, Великобритания, Франция, Германия и Китай".
Попытки LockBit всплыть после действий правоохранительных органов были в лучшем случае безуспешными, что побудило его размещать старых и поддельных жертв на своем новом сайте утечки данных.
"LockBit создали новый сайт утечки, на котором они раздули очевидную активность, публикуя жертвы, на которых они были нацелены до того, как NCA взяла под контроль свои сервисы в феврале, а также взяли на себя ответственность за атаки, совершенные с использованием других разновидностей программ-вымогателей", - отметило агентство. "Группа пыталась перестроиться в течение последних двух месяцев, однако [...] в настоящее время они работают с ограниченной производительностью, и глобальная угроза со стороны LockBit значительно снизилась".
По оценкам, до 24 февраля схема RaaS охватывала 194 аффилированных лица, из которых 148 организовали атаки и 119 вели переговоры о выкупе с жертвами.
"Из 119 человек, которые начали переговоры, есть 39, которые, похоже, никогда не получали выкуп", - отметили в NCA. "Семьдесят пятый не участвовал ни в каких переговорах, поэтому, похоже, также не получал никаких выплат выкупа".
Количество активных аффилированных лиц LockBit с тех пор сократилось до 69, сообщило NCA, добавив, что LockBit обычно не удаляла украденные данные после выплаты выкупа и что было обнаружено множество случаев, когда дешифратор, предоставленный жертвам, не работал должным образом. ожидалось.
"Как лидер основной группы LockBit и разработчик программы-вымогателя LockBit, Хорошев выполнял различные операционные и административные функции для группы по борьбе с киберпреступностью и получал финансовую выгоду от атак программы-вымогателя LockBit", - заявило Министерство финансов США.
"Хорошев способствовал модернизации инфраструктуры LockBit, привлек новых разработчиков для программы-вымогателя и управлял филиалами LockBit. Он также несет ответственность за усилия LockBit по продолжению операций после их срыва США и их союзниками ранее в этом году."
(История была обновлена после публикации, чтобы включить дополнительную информацию, связанную с обвинительным заключением Хорошеву.)
