Новые детали привнесли больше ясности в дело «великого и ужасного» LockBitSupp.
На прошлой неделе США, совместно с Великобританией и Австралией, предъявили обвинения и наложили санкции против Дмитрия Хорошева, которого считают лидером известной вымогательской группировки LockBit.
Настоящий лидер LockBit, известный в Сети под псевдонимом «LockBitSupp», быстро прокомментировал заявления правоохранителей, утверждая, что последние ошиблись. Якобы он — никакой не Хорошев, и ему жаль этого парня в связи с возможными проблемами, с которыми он теперь может столкнуться из-за ложных обвинений в связи с LockBit.
Исследователь Брайан Кребс с портала KrebsonSecurity решил собственноручно разобраться, какими фактами оперировали власти сразу трёх стран, когда выносили свои обвинения. В данном материале мы кратко ознакомимся с его расследованием и выводами, к которым пришёл киберэксперт, основываясь на сведениях правоохранителей и других независимых исследователей.
7 мая Министерство юстиции США предъявило Хорошеву обвинения по 26 преступным эпизодам, включая вымогательство, мошенничество и сговор. Власти утверждают, что Хорошев создал, использовал сам и распространял среди аффилиатов вирус-вымогатель LockBit, успев за время активности группировки заработать более $100 миллионов. Тем временем, суммарные доходы LockBit за четыре года своего существования составили около полумиллиарда долларов.
Федеральные следователи заявляют, что Хорошев управлял LockBit по модели RaaS (вымогательство как услуга), получая 20% от суммы выкупа, а оставшиеся 80% шли аффилиатам, распространявшим вирус. Финансовые санкции, наложенные на Хорошева Министерством финансов США, включают его известные электронные адреса, домашний адрес, номер паспорта и даже налоговый идентификатор.
Согласно данным DomainTools.com, электронный адрес «sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, включая бизнес, зарегистрированный на имя Хорошева, под названием «tkaner[.]com», который представляет собой блог об одежде и ткани.
Поиск на Constella Intelligence по номеру телефона, указанному в регистрационных документах Tkaner, показал несколько официальных документов, подтверждающих владение номером Дмитрием Юрьевичем Хорошевым.
Другой домен, зарегистрированный на этот номер телефона, «stairwell[.]ru», ранее рекламировал деревянные лестницы, однако ныне не функционирует. В отчётах DomainTools отмечается, что этот домен в течение нескольких лет содержал имя «Dmitrij Ju Horoshev» и электронный адрес «pin@darktower[.]su».
По данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Юрьевича Хорешева из Воронежа у хостинг-провайдера FirstVDS. Кроме того, компания Intel 471 обнаружила, что этот же адрес также использовался русскоязычным участником под ником «Pin» на англоязычном киберпреступном форуме Opensc, где «Pin» был особенно активен в 2012 году и писал о проблемах шифрования данных и обходе защитных механизмов Windows.
На форуме Antichat участник «Pin» рекомендовал связываться с ним через ICQ под номером 669316. По данным Intel 471, этот ICQ-номер в апреле 2011 года был зарегистрирован на форуме Zloy под именем «NeroWolfe» с адресом «d.horoshev@gmail[.]com» и IP-адресом из Воронежа.
Аккаунт «NeroWolfe» использовал те же пароли, что и на «stairwell.ru», и был зарегистрирован на более десяти других киберпреступных форумов в период с 2011 по 2015 год. «NeroWolfe» представил себя как системного администратора и программиста на C++ и предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.
В 2019 году пользователь под ником «Putinkrab» начал предлагать исходный код вирусов-вымогателей на киберпреступных форумах XSS, Exploit и UFOLabs. В апреле 2019 года он запустил партнёрскую программу с разделением выкупа 20/80 в пользу партнёров. Последний пост от пользователя с этим ником был отправлен 23 августа 2019 года.
Министерство юстиции заявляет, что через пять месяцев был официально запущен партнёрский проект LockBit, которым, как утверждается, и руководил Хорошев, но уже под псевдонимом «LockBitSupp». Кроме того, оригинальный шифровальщик LockBit был написан на языке программирования C, в котором «NeroWolfe» был экспертом.
Пока не доказано, что Хорошев наверняка является «LockBitSupp», но вся его деятельность на протяжении многих лет указывает на глубокую вовлеченность в различные киберпреступные схемы с ботнетами, кражей данных и вредоносным ПО. Хорошев демонстрировал мастерство в области шифрования и создания скрытных программ, что явно сделало его востребованным в RaaS-индустрии.
В феврале 2024 года ФБР захватило киберпреступную инфраструктуру LockBit в даркнете после длительной операции «Cronos». С учётом предъявленных обвинений, санкций против Хорошева и других участников LockBit, власти, вероятно, обладают обширной информацией о деятельности группы. Едва ли они могли ошибиться с учётом столь многочисленных и явных связей с Хорошевым.
Кроме того, вскоре после обвинений в адрес Хорошева некоторые независимые исследователи безопасности раскрыли в Telegram десятки кредитных карт и банковских счетов, связанных с ним. Все они, совершенно точно, были бы далеко не лишними для скрытного вывода денежных средств после проведения масштабных вымогательских операций.
Одно найти легче, чем другое. Спойлер: это не темная материя