Identitat del líder de LockBit revelada: legítima o troll?
Ampliament reconegut com un dels grups de ransomware més prolífics del món, Lockbit va aparèixer per primera vegada el 2019 com a ransomware ABCD. Des que es va detectar per primera vegada, el grup "ransomware-as-a-service" ha publicat dues actualitzacions importants del ransomware. La colla ho era acreditat per gairebé el 21% de tots els atacs de ransomware el 2023. Se sap que el ransomware LockBit obté accés inicial per diversos mitjans. Aquests inclouen l'explotació de servidors vulnerables de Protocol d'escriptori remot (RDP) o la compra de credencials compromeses als seus afiliats. A més, s'han conegut per utilitzar-los Phishing correus electrònics amb fitxers adjunts o enllaços maliciosos, així com credencials RDP febles de forçament brut. En obtenir accés a la màquina de la víctima i augmentar els privilegis, el programari maliciós substitueix el fons de pantalla de l'escriptori per una nota de rescat.
Amb més de 2000 víctimes i gairebé mig milió de dòlars extorsionats, la banda de ransomware ha estat al radar de diverses agències d'aplicació de la llei durant un temps. El 19 de febrer de 2024, com a part de l'operació Cronos, l'Agència Nacional del Crim, juntament amb Europol i altres agències internacionals d'aplicació de la llei, van prendre el control dels llocs web de darknet que pertanyien a la banda de ransomware LockBit. Després de la retirada amb èxit de 34 servidors a diversos països d'Europa i els Estats Units, es va desenvolupar un desxifrador per a LockBit 3.0 i es va posar a disposició per al seu ús gratuït. El grup ha demostrat ser resistent, amb el programari maliciós encara estenent-se el 22 de febrer de 2024.
El 7 de maig de 2023, el Departament de Justícia dels Estats Units va donar a conèixer el líder del grup de ransomware Lockbit. Identificat com un nacional rus anomenat Dmitry Khoroshev, el DoJ ha sancionat el suposat líder del grup i ha ofert fins a 10,000,000 de dòlars en recompenses per informació conduir a la seva detenció o condemna. També conegut pel sobrenom LockBitSupp, les accions dirigides a Khoroxev inclouen congelació d'actius i prohibicions de viatge. Els càrrecs presentats contra Khoroxev el van nomenar desenvolupador i administrador de LockBit des del setembre de 2019. No obstant això, el grup ha publicat diverses declaracions afirmant que l'FBI menteix. El líder del grup havia afirmat anteriorment al febrer que l'accés del govern a les operacions de LockBit era en gran mesura exagerat. En una declaració a un compte de X (fka Twitter). vx-subterrani, va dir l'administrador de la colla “No entenc per què fan aquest petit espectacle. Estan clarament molestos perquè continuem treballant". Després que es revelés la suposada identitat del líder de LockBit, el grup va fer una declaració a l'FBI dient que tenien la persona equivocada.
Des de l'inici de l''Operació Cronos', s'han detingut diverses persones per presumpta connexió amb la banda LockBit. Era un duo pare-fill detinguts a Polònia i Ucraïna el febrer de 2024 per afiliacions a la banda. El 2023, els Estats Units també van arrestar i acusar diversos ciutadans russos per implicació amb LockBit, inclosos Mikhail Matveev, conegut com Wazawaka, m1x, i Boriselcin (maig de 2023) i Mikhail Vasiliev (novembre). 2022).
La retirada de l'operació de ransomware LockBit per part de les agències internacionals d'aplicació de la llei és un assoliment important en la lluita contra el cibercrim. Tot i que el líder del grup i alguns dels seus membres han estat identificats i detinguts, s'ha de veure si el grup serà totalment desmantellat. No obstant això, el grup va continuar afirmant que les autoritats tenien la persona equivocada, la qual cosa fa una ombra de dubte sobre la veritable identitat del líder de la banda.