ABD, bugün 31 yaşındaki Rus vatandaşına yaptırım uygulayan İngiltere ve Avustralya’ya katıldı Dmitri Yuryeviç Khoroşev kötü şöhretli fidye yazılımı grubunun sözde lideri olarak Kilit Biti. ABD Adalet Bakanlığı ayrıca Khoroshev’i 2.000’den fazla kurbana saldırmak ve fidye yazılımı ödemelerinden en az 100 milyon dolar almak için Lockbit’i kullanmakla suçladı.
Resim: Birleşik Krallık Ulusal Suç Ajansı.
Rusya’nın Voronej kentinde yaşayan Khoroshev (Dmitry Yuryevich Khoroshev), New Jersey’deki büyük jüri tarafından 26 maddelik bir iddianameyle suçlandı.
“Dmitry Khoroshev, dünyanın en üretken fidye yazılımı çeşidi ve grubu olan Lockbit’i tasarladı, geliştirdi ve yönetti; kendisi ve bağlı kuruluşlarının dünya çapında binlerce kurbana zarar vermesine ve milyarlarca dolar zarar vermesine olanak sağladı.” ABD Avukatı Philip R. Sellinger Adalet Bakanlığı tarafından yayınlanan bir açıklamada söyledi.
İddianamede, Khoroshev’in, kurulduğu Eylül 2019’dan Mayıs 2024’e kadar LockBit fidye yazılımı grubunun geliştiricisi ve yöneticisi olarak hareket ettiği ve LockBit kurbanlarından zorla alınan her fidye ödemesinden genellikle yüzde 20’lik bir pay aldığı iddia ediliyor.
Hükümet, LockBit kurbanlarının bireyleri, küçük işletmeleri, çok uluslu şirketleri, hastaneleri, okulları, kar amacı gütmeyen kuruluşları, kritik altyapıyı ve hükümet ve kolluk kuvvetlerini içerdiğini söylüyor.
Adalet Bakanlığı, “Khoroshev ve işbirlikçileri kurbanlarından en az 500 milyon dolar fidye ödemesi aldılar ve gelir kaybı, olaylara müdahale ve iyileşme gibi milyarlarca dolarlık daha geniş kayıplara neden oldular” dedi. “LockBit fidye yazılımı grubu, 1.800’ü ABD’deki kurbanlar dahil olmak üzere en az 120 ülkede 2.500’den fazla kurbana saldırdı.”
LockBitSupp’un maskesinin düşürülmesi, ABD ve İngiltere yetkililerinin LockBit tarafından işletilen karanlık ağ web sitelerini ele geçirmesinden ve bu web sitelerini kolluk kuvvetlerinin eylemiyle ilgili basın bültenleri ve LockBit kurbanlarının virüslü sistemlerin şifresini çözmelerine yardımcı olacak ücretsiz araçlarla güçlendirmesinden yaklaşık üç ay sonra gerçekleşti.
Federaller, basın bültenleri ve ücretsiz şifre çözme araçlarını öne çıkarmak için LockBit’in kurbanları utandıran web sitesindeki mevcut tasarımı kullandı.
Yetkililerin ele geçirilen siteye bıraktığı blog başlıklarından biri, fidye yazılımı grup liderinin gerçek kimliğini açığa çıkaracağını vaat eden “LockbitSupp kimdir?” başlıklı bir teaser sayfasıydı. Bu öğe, büyük açıklamaya kadar bir geri sayım saatini içeriyordu, ancak sitenin zamanlayıcısının süresi dolduğunda böyle bir ayrıntı sunulmadı.
FBI’ın baskınının ardından LockBitSupp, ortaklarına ve bağlı kuruluşlarına fidye yazılımı operasyonunun hâlâ tam anlamıyla operasyonel olduğu konusunda güvence vermek için Rus siber suç forumlarına başvurdu. LockBitSupp ayrıca, FBI baskınından önce fidye alan bir dizi LockBit kurbanından çalınan verileri yakında yayınlayacağına söz veren başka bir darknet web sitesi grubunu da gündeme getirdi.
LockBitSupp’un gasp etmeye devam ettiği kurbanlardan biri Ga. Fulton County’ydi. Eve LockBit’in karanlık ağ siteleri. FBI baskınının ardından LockbitSupp, LockBit’in geri sayım sayacı sona ermeden önce fidye talebi ödenmediği takdirde ilçe mahkeme sisteminden çalınan hassas belgeleri serbest bırakacağına söz verdi. Ancak Fulton İlçesi yetkilileri ödemeyi reddettiğinde ve süre dolduğunda çalınan kayıtların hiçbiri yayınlanmadı. Uzmanlar, FBI’ın LockBit’in çalınan verilerinin tümüne el koymuş olmasının muhtemel olduğunu söyledi.
LockBitSupp ayrıca gerçek kimliklerinin asla açığa çıkmayacağını söyleyerek övündü ve bir noktada gerçek adlarını öğrenebilecek herkese 10 milyon dolar ödemeyi teklif etti.
KrebsOnSecurity, farklı LockBit kurbanlarına ilişkin raporlama sırasında birkaç aydır LockBitSupp ile aralıklı olarak iletişim halindedir. Fidye yazılımı grup liderinin Rus siber suç forumlarında tanıttığı aynı ToX anlık mesajlaşma kimliğine ulaşan LockBitSupp, yetkililerin yanlış adamı adlandırdığını iddia etti.
LockBitSupp Rusça olarak “Ben değilim” diye yanıtladı. “FBI’ın beni bu zavallı adamla nasıl bağlantılandırabildiğini anlamıyorum. Benim olduğuma dair mantıksal zincir nerede? Rastgele masum bir insan için üzülmüyor musun?”
Artık başına 10 milyon dolar ödül konan LockBitSupp ABD Dışişleri Bakanlığı, gerçeklere karşı esnek olduğu biliniyor. Lockbit grubu, kurbanlarına karşı rutin olarak “çifte gasp” uyguluyordu; ele geçirilen sistemlerin kilidini açacak bir anahtar için bir fidye ödemesi ve kurbanlarından çalınan verileri silme vaadi karşılığında ayrı bir ödeme talep ediyordu.
Ancak Adalet Bakanlığı yetkilileri, bu kuruluşların bilgilerin LockBit’in kurbanları utandıran web sitesinde yayınlanmasını önlemek için fidye ödeyip ödememelerine bakılmaksızın, LockBit’in kurbanlarının verilerini asla silmediğini söylüyor.
Khoroshev, resmi olarak LockBit’in aktif üyesi olmakla suçlanan altıncı kişi. Hükümet Rus uyruklu olduğunu söylüyor Artur Sungatov ABD genelinde imalat, lojistik, sigorta ve diğer şirketlerdeki kurbanlara karşı LockBit fidye yazılımını kullandı.
Ivan Gennadievich Kondratyevnamı diğer “Bassterlord”un LockBit’i ABD, Singapur, Tayvan ve Lübnan’daki hedeflere karşı kullandığı iddia ediliyor. Kondratyev ayrıca Sodinokibi (diğer adıyla “REvil”) fidye yazılımı varyantını verileri şifrelemek, kurban bilgilerini sızdırmak ve Alameda County, California merkezli bir kurumsal kurbandan zorla fidye ödemesi almak için kullandığı iddiasından kaynaklanan üç suçla da suçlanıyor (PDF) .
Mayıs 2023’te ABD yetkilileri, LockBit üyesi olduğu iddia edilen iki kuruluşa karşı iddianameleri açıkladı. Mikhail “Wazawaka” Matveev Ve Mihail Vasilyev. Ocak 2022’de KrebsOnSecurity, Wazawaka’nın Rusça siber suç forumlarındaki birçok takma ad ve iletişim ayrıntılarından Abaza, RU’dan 31 yaşındaki Mikhail Matveev’e kadar uzanan ipuçlarını takip eden Ağ Erişim Aracısı Kimdir ‘Wazawaka’yı yayınladı.
Matveev hâlâ kaçak durumda, muhtemelen hâlâ Rusya’da. Bu arada ABD Dışişleri Bakanlığı’nın Matveev’in tutuklanmasına yol açacak bilgi için 10 milyon dolarlık bir ödül teklifi var.
Bradford, Ontario, Kanada’dan 35 yaşındaki Vasiliev, Kanada’da gözaltında tutuluyor ve Amerika Birleşik Devletleri’ne iade edilmeyi bekliyor (Vasiliev’e karşı şikayet bu PDF’de bulunmaktadır).
Haziran 2023’te Rus vatandaşı Ruslan Magomedoviç Astamirov New Jersey’de, LockBit’in Florida, Japonya, Fransa ve Kenya’daki kurbanlara karşı konuşlandırılması da dahil olmak üzere LockBit komplosuna katılmakla suçlandı. Astamirov şu anda ABD’de tutuklu olarak yargılanmayı bekliyor.
Adalet Bakanlığı, LockBit’in hedef aldığı kurbanları resmi bir şikayette bulunmak ve etkilenen sistemlerin şifresinin başarılı bir şekilde çözülüp çözülemeyeceğini belirlemek için https://lockbitvictims.ic3.gov/ adresinden FBI ile iletişime geçmeye çağırıyor.