Na terça-feira, as autoridades dos EUA e do Reino Unido revelaram que o cérebro por trás do LockBit, um dos grupos de ransomware mais prolíficos e prejudiciais da história, é um russo de 31 anos chamado Dmitry Yuryevich Khoroshev, também conhecido como “LockbitSupp”.
Como é habitual neste tipo de anúncios, as autoridades publicaram fotos de Khoroshev, bem como detalhes da operação do seu grupo. O Departamento de Justiça dos EUA carregada Khoroshev com vários crimes informáticos, fraude e extorsão. E no processo, os federais também revelaram alguns detalhes sobre as operações anteriores da LockBit.
No início deste ano, as autoridades apreenderam a infraestrutura do LockBit e os bancos de dados da gangue, revelando detalhes importantes de como o LockBit funcionava.
Hoje, temos mais detalhes sobre o que os federais chamam de “uma enorme organização criminosa que, às vezes, é classificada como o grupo de ransomware mais prolífico e destrutivo do mundo”.
Aqui está o que aprendemos a acusação de Khoroshev.
Khoroshev tinha um segundo apelido: putinkrab
O líder da LockBit era conhecido publicamente pelo apelido não muito imaginativo de LockBitSupp. Mas Khoroshev também tinha outra identidade online: putinkrab. A acusação não inclui nenhuma informação sobre o nome online, embora pareça fazer referência ao presidente russo, Vladimir Putin. Na internet, porém, vários perfis usando o mesmo apelido no Flickr, YouTubee Redditembora não esteja claro se essas contas foram administradas por Khoroshev.
LockBit também atingiu vítimas na Rússia
No mundo do crime cibernético russo, segundo especialistas, existe uma regra sagrada e não escrita: hackear qualquer pessoa fora da Rússia e as autoridades locais o deixarão em paz. Surpreendentemente, de acordo com os federais, Khoroshev e seus co-conspiradores “também implantaram o LockBit contra múltiplas vítimas russas”.
Resta saber se isso significa que as autoridades russas irão atrás de Khoroshev, mas pelo menos agora sabem quem ele é.
Khoroshev ficou de olho em seus afiliados
Operações de ransomware como LockBit são conhecidas como ransomware como serviço. Isso significa que há desenvolvedores que criam o software e a infraestrutura, como Khoroshev, e há afiliados que operam e implantam o software, infectando vítimas e extorquindo resgates. Os afiliados pagaram a Khoroshev cerca de 20% de seus procedimentos, alegaram os federais.
De acordo com a acusação, este modelo de negócio permitiu a Khoroshev monitorizar “de perto” os seus afiliados, incluindo ter acesso às negociações das vítimas e, por vezes, participar nelas. Khoroshev até “exigiu documentos de identificação de seus afiliados Coconspirators, que ele também manteve em sua infraestrutura”. Provavelmente foi assim que as autoridades policiais conseguiram identificar algumas das afiliadas da Lockbit.
Khoroshev também desenvolveu uma ferramenta chamada “StealBit” que complementou o ransomware principal. Essa ferramenta permitiu que afiliados armazenassem dados roubados de vítimas nos servidores de Khoroshev e, às vezes, publicassem-nos no site oficial de vazamento da dark web da LockBit.
Os pagamentos de ransomware da LockBit totalizaram cerca de US$ 500 milhões
A LockBit foi lançada em 2020 e, desde então, suas afiliadas extorquiram com sucesso pelo menos aproximadamente US$ 500 milhões de cerca de 2.500 vítimas, que incluíam “grandes corporações multinacionais a pequenas empresas e indivíduos, e incluíam hospitais, escolas, organizações sem fins lucrativos, instalações de infraestrutura crítica e agências governamentais e de aplicação da lei.”
Além dos pagamentos de resgate, o LockBit “causou danos em todo o mundo, totalizando bilhões em dólares americanos”, porque a gangue interrompeu as operações das vítimas e forçou muitas a pagar serviços de resposta e recuperação de incidentes, alegaram os federais.
Khoroshev entrou em contato com as autoridades para identificar alguns de seus afiliados
Provavelmente a mais chocante das últimas revelações: em fevereiro, depois que a coalizão de agências globais de aplicação da lei derrubou o site e a infraestrutura da LockBit, Khoroshev “comunicou-se com as autoridades e ofereceu seus serviços em troca de informações sobre a identidade de seu [ransomware-as-a-service] concorrentes.”
De acordo com a acusação, Khoroshev pediu às autoridades que “[g]Dê-me os nomes dos meus inimigos.”
