Cosa abbiamo imparato dall'incriminazione del genio di LockBit
Martedì, le autorità statunitensi e britanniche hanno rivelato che il genio dietro LockBit, uno dei gruppi di ransomware più prolifici e dannosi della storia, è un ragazzo russo di 31 anni di nome Dmitry Yuryevich Khoroshev, alias 'LockbitSupp'.
Come è consuetudine in questo tipo di annunci, le forze dell'ordine hanno pubblicato foto di Khoroshev, così come dettagli sull'operazione del suo gruppo. Il Dipartimento di Giustizia degli Stati Uniti ha accusato Khoroshev di diversi crimini informatici, truffe ed estorsioni. E nel processo, le autorità hanno anche rivelato alcuni dettagli sulle operazioni passate di LockBit.
All'inizio di quest'anno, le autorità hanno sequestrato l'infrastruttura di LockBit e le banche dati della banda, rivelando dettagli chiave su come lavorava LockBit.
Oggi, abbiamo ulteriori dettagli su ciò che le autorità chiamavano 'un'organizzazione criminale massiccia che, a volte, è stata la più prolifico e distruttiva gruppo di ransomware al mondo.'
Khoroshev aveva un secondo soprannome: putinkrab
Il leader di LockBit era conosciuto pubblicamente con il poco fantasioso soprannome LockBitSupp. Ma Khoroshev aveva anche un'altra identità online: putinkrab. L'incriminazione non include alcuna informazione sull'handle online, anche se sembra fare riferimento al presidente russo Vladimir Putin. Su internet, tuttavia, ci sono diversi profili che utilizzano lo stesso pseudonimo su Flickr, YouTube e Reddit, anche se non è chiaro se questi account fossero gestiti da Khoroshev.
LockBit ha colpito vittime anche in Russia
Nel mondo del crimine informatico russo, secondo gli esperti, c'è una regola sacra e non scritta: se rubi qualcuno al di fuori della Russia, le autorità locali ti lasceranno in pace. Sorprendentemente, secondo le autorità, Khoroshev e i suoi complici 'hanno attaccato anche molte vittime russe con LockBit.'
Rimane da vedere se questo significhi che le autorità russe andranno dopo Khoroshev, ma almeno adesso sanno chi è.
Khoroshev teneva d'occhio da vicino i suoi affiliati
Le operazioni di ransomware come LockBit sono conosciute come ransomware-as-a-service. Ci sono sviluppatori che creano il software e l'infrastruttura, come Khoroshev, e poi ci sono affiliati che operano e implementano il software, infettando le vittime ed estorcendo riscatti. Gli affiliati pagavano a Khoroshev circa il 20% dei proventi, hanno sostenuto le autorità.
Secondo l'incriminazione, questo modello di business ha permesso a Khoroshev di 'monitorare attentamente' i suoi affiliati, compreso l'accesso alle trattative con le vittime e talvolta partecipare a esse. Khoroshev ha persino 'esigeva documenti di identificazione dai suoi complici affiliati, che manteneva anche sulla sua infrastruttura.' Probabilmente è così che le forze dell'ordine sono riuscite ad identificare alcuni degli affiliati di Lockbit.
Khoroshev ha anche sviluppato uno strumento chiamato 'StealBit' che integrava il ransomware principale. Questo strumento permetteva agli affiliati di memorizzare i dati rubati dalle vittime sui server di Khoroshev e talvolta pubblicarli sul sito ufficiale dark web di LockBit.
I pagamenti di riscatto di LockBit ammontavano a circa $500 milioni
LockBit è stato lanciato nel 2020 e da allora i suoi affiliati hanno estorto con successo almeno circa $500 milioni da circa 2.500 vittime, che includevano 'importanti aziende multinazionali a piccole imprese e individui, e includevano ospedali, scuole, organizzazioni non profit, strutture di infrastrutture critiche, e agenzie governative e di polizia.'
Oltre ai pagamenti di riscatto, LockBit 'ha causato danni in tutto il mondo per miliardi di dollari statunitensi,' perché la banda ha interrotto le operazioni delle vittime e costretto molte a pagare servizi di risposta agli incidenti e di recupero, hanno sostenuto le autorità.
Khoroshev si è messo in contatto con le autorità per identificare alcuni dei suoi affiliati
Probabilmente la rivelazione più scioccante delle ultime: a febbraio, dopo che la coalizione delle agenzie di forze dell'ordine globali ha abbattuto il sito web e l'infrastruttura di LockBit, Khoroshev 'ha comunicato con le forze dell'ordine e ha offerto i suoi servizi in cambio di informazioni sull'identità dei suoi concorrenti in questo ransomware-as-a-service.'
Secondo l'incriminazione, Khoroshev ha chiesto alle forze dell'ordine di '[d]atemi i nomi dei miei nemici.'