Birleşik Krallık Ulusal Suç Ajansı (NCA), LockBit fidye yazılımı operasyonunun yöneticisi ve geliştiricisinin maskesini düşürdü ve bu kişinin 31 yaşında bir Rus vatandaşı olduğunu ortaya çıkardı. Dmitri Yuryeviç Khoroşev.
Buna ek olarak, Khoroshev’e Birleşik Krallık Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi (FCD), ABD Hazine Bakanlığı Dış Varlıklar Kontrol Dairesi (OFAC) ve Avustralya Dışişleri Bakanlığı tarafından da yaptırım uygulandı.
Europol, yaptığı basın açıklamasında yetkililerin 2.500’den fazla şifre çözme anahtarına sahip olduğunu ve destek sunmak için LockBit kurbanlarıyla iletişime geçmeye devam ettiklerini söyledi.
LockBitSupp ve putinkrab takma adlarını kullanan Khoroshev’in mal varlıkları donduruldu ve seyahat yasakları uygulandı; ABD Dışişleri Bakanlığı, tutuklanmasını ve/veya mahkum edilmesini sağlayacak bilgiler için 10 milyon dolara kadar ödül teklif etti.
Daha önce kurum, LockBit fidye yazılımı varyant grubunun önemli liderlerinin kimliğine ve konumuna yol açan bilgilerin yanı sıra grup üyelerinin tutuklanmasına ve/veya mahkum edilmesine yol açacak bilgilerin aranması için 15 milyon dolara kadar ödül teklifleri açıklamıştı.
Eş zamanlı olarak, Adalet Bakanlığı (DoJ) tarafından mühürlenmeyen bir iddianamede Khoroshev 26 suçla suçlandı; bunlardan biri dolandırıcılık, gasp ve bilgisayarlarla bağlantılı ilgili faaliyetlere yönelik komplo kurmak; elektronik dolandırıcılık yapmaya yönelik bir komplo; korunan bir bilgisayara sekiz kez kasıtlı zarar verilmesi; korunan bir bilgisayardan alınan gizli bilgilerle ilgili olarak sekiz adet gasp; ve korunan bir bilgisayara verilen hasarla ilgili olarak sekiz adet gasp.
Toplamda suçlamalar en fazla 185 yıl hapis cezasını içeriyor. Suçlamaların her biri ayrıca, en fazla 250.000 ABD doları tutarında para cezası, faile maddi kazanç veya mağdura maddi zarar içermektedir.
En son iddianameyle, aralarında Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov ve Ivan Kondratyev’in de bulunduğu LockBit komplosuyla bağlantılı toplam altı üye suçlandı.
NCA Genel Müdürü Graeme Biggar, “Bugünkü duyuru LockBit’in tabutuna bir büyük çivi daha çakılıyor ve bunlarla ilgili soruşturmamız devam ediyor” dedi. “Aynı zamanda dünya çapındaki okullara, hastanelere ve büyük şirketlere yıkıcı fidye yazılımı saldırıları düzenlemek için LockBit hizmetlerini kullanan bağlı kuruluşları da hedef alıyoruz.”
En üretken hizmet olarak fidye yazılımı (RaaS) gruplarından biri olan LockBit, bu Şubat ayının başlarında Cronos adlı koordineli bir operasyonun parçası olarak dağıtıldı. Dünya çapında 2.500’den fazla kurbanı hedef aldığı ve 500 milyon dolardan fazla fidye ödemesi aldığı tahmin ediliyor.
Avustralya Dışişleri Bakanı Penny Wong, “LockBit fidye yazılımı Avustralya, Birleşik Krallık ve ABD’deki işletmelere karşı kullanıldı; bu, 2022-23’te bildirilen toplam Avustralya fidye yazılımı olaylarının %18’ini ve Avustralya’da bildirilen 119 kurbanı oluşturuyor.” dedi.
RaaS iş modeli kapsamında LockBit, ödenen fidyelerden %80 kesinti karşılığında fidye yazılımı yazılımını bağlı kuruluşlara lisanslıyor. E-suç grubu aynı zamanda bilgisayar sistemlerini şifrelemeden ve fidye ödemesi talep etmeden önce hassas verilerin kurban ağlarından sızdırıldığı çifte şantaj taktikleriyle de tanınıyor.
LockBit’i Eylül 2019 civarında başlatan Khoroshev’in, son dört yılda programın bir parçası olarak en az 100 milyon dolar net ödeme elde ettiğine inanılıyor.
NCA, “LockBit’in suçluluğunun gerçek etkisi daha önce bilinmiyordu, ancak sistemlerinden elde edilen veriler, Haziran 2022 ile Şubat 2024 arasında, hizmetleri kullanılarak 7.000’den fazla saldırının gerçekleştirildiğini gösterdi.” dedi. “En çok etkilenen beş ülke ABD, İngiltere, Fransa, Almanya ve Çin oldu.”
LockBit’in kolluk kuvvetlerinin eylemi en iyi ihtimalle başarısız olduktan sonra yeniden ortaya çıkma girişimleri, eski ve sahte kurbanları yeni veri sızıntısı sitesinde yayınlamasına neden oldu.
Ajans, “LockBit, NCA’nın Şubat ayında hizmetlerinin kontrolünü ele geçirmesinden önce hedeflenen kurbanları yayınlayarak ve diğer fidye yazılımı türlerini kullanarak gerçekleştirilen saldırılardan pay alarak görünürdeki faaliyetleri şişirdikleri yeni bir sızıntı sitesi oluşturdu” dedi.
RaaS planının 24 Şubat’a kadar 194 bağlı kuruluşu kapsadığı tahmin ediliyor; bunlardan 148’i saldırı gerçekleştirdi ve 119’u kurbanlarla fidye görüşmelerine katıldı.
NCA, “Müzakerelere başlayan 119 kişiden 39’unun fidye ödemesi almamış gibi göründüğünü” belirtti. “75 kişi herhangi bir müzakereye katılmadı, dolayısıyla herhangi bir fidye ödemesi de almamış gibi görünüyor.”
NCA, aktif LockBit bağlı kuruluşlarının sayısının o zamandan beri 69’a düştüğünü belirterek, LockBit’in fidye ödendikten sonra çalınan verileri rutin olarak silmediğini ve kurbanlara sağlanan şifre çözücünün beklendiği gibi çalışmadığı çok sayıda örneği ortaya çıkardığını söyledi.
ABD Hazine Bakanlığı, “LockBit grup lideri ve LockBit fidye yazılımının geliştiricisi olarak Khoroshev, siber suç grubu için çeşitli operasyonel ve idari roller üstlendi ve LockBit fidye yazılımı saldırılarından mali olarak yararlandı” dedi.
“Khoroshev, LockBit altyapısının yükseltilmesini kolaylaştırdı, fidye yazılımı için yeni geliştiriciler işe aldı ve LockBit bağlı kuruluşlarını yönetti. Aynı zamanda, bu yılın başlarında ABD ve müttefikleri tarafından kesintiye uğratılmasının ardından LockBit’in operasyonlarına devam etme çabalarından da sorumlu.”