NCA desmascara homem que suspeita ser o 'chefão da Evil Corp' e afiliado da LockBit
A última edição da série de revelações de ransomware da Agência Nacional do Crime (NCA) da LockBit Leak Week de fevereiro surge hoje quando a agência identifica um homem que ela não apenas acredita ser membro do grupo criminoso de longa data Evil Corp, mas também afiliado da LockBit.
A NCA alegou que Aleksandr Ryzhenkov é um membro de alto escalão da Evil Corp – e também alegou que ele é o afiliado da LockBit conhecido como “Beverley” desde pelo menos 2022. A revelação é a primeira do tipo sobre um crossover conhecido entre as duas gangues russas.
O desmascaramento de Ryzhenkov segue-se à revelação do total de 194 afiliados – os comparsas que realmente realizam ataques de ransomware usando o nome da marca – registrados na LockBit no momento da interrupção em fevereiro.
Policiais finalmente desmascararam o 'chefão do LockBit' após provocação de dois meses
A interrupção ficou conhecida por aqui como LockBit Leak Week, uma vez que insights sobre o grupo foram divulgados ao público ao longo de uma semana, usando o próprio site da gangue de ransomware para fazer isso. O mesmo site foi revivido para revelar o novo lote de informações desta semana.
As 194 afiliadas foram registradas apenas usando o apelido atribuído a elas pela LockBit. Os policiais que revelaram essa lista acreditam que o afiliado conhecido como “Beverley” seja Ryzhenkov.
Da esquerda, um jovem Dmitry Smirnov e Aleksandr Ryzhenkov, que a NCA alega serem membros importantes da Evil Corp, abraçam um bebê chita. Foto fornecida pela NCA – clique para ampliar
O grupo de aplicação da lei também disse acreditar que Ryzhenkov é um dos aliados profissionais e amigos pessoais mais próximos do líder da Evil Corp, Maksim Yakubets. Sabe-se que o casal socializa frequentemente com suas esposas; eles compareceram aos casamentos um do outro e também passaram férias juntos no passado.
Eles também – pelo menos de acordo com a agência criminal – trabalharam juntos como líderes cibercriminosos organizados desde pelo menos 2011.
Diz-se que Ryzhenkov atuou como afiliado da LockBit por cerca de dois anos e, nesse período, ele construiu 60 ataques usando as ferramentas da LockBit, afirmou a NCA, o que levou a tentativas de extorsão totalizando US$ 100 milhões em Bitcoin.
Embora as evidências que levam à identificação de Ryzhenkov sejam desconhecidas, entende-se que as autoridades acreditam ter amplas provas financeiras e técnicas para ligá-lo à Evil Corp.
A NCA afirmou que, juntos, Ryzhenkov e Yakubets formam duas partes-chave de um dos grupos mais bem-sucedidos do gênero, que arrecadou centenas de milhões de dólares desde a primeira criação, há dez anos, embora a linhagem do grupo remonte a 2009. .
Acreditava-se que Yakubets estava envolvido com a tripulação do Jabber Zeus, distribuindo o malware homônimo de drenagem de bancos até que foi interrompido em 2010, com alguns supostos membros da tripulação presos.
No ano seguinte, Yakubets teria formado O Clube de Negócios com Ryzhenkov e Igor Turashev, que você talvez conheça por ser rapado em 2019 por seu suposto papel como administrador de sistemas em vários empreendimentos criminosos de Yakubets, incluindo a criação e distribuição do Dridex e Malware Gameover Zeus cepas.
Segundo a polícia, o trio formou a Evil Corp em 2014. Além de serem conhecidos como a força por trás do malware Dridex, começaram a fazer experiências com ransomware em 2017, nomeadamente com o BitPaymer variante, antes de passar a usar várias outras nos anos seguintes. Um dos que conhecemos agora é o LockBit.
Durante a sua ascensão à infâmia, a Evil Corp conquistou uma posição altamente privilegiada no governo russo. A relação entre o grupo criminoso e os serviços de segurança russos é considerada extraordinariamente estreita, o que também foi revelado hoje em maior medida, por cortesia da NCA.
Essa é uma outra história, porém, que aparecerá em O Registro mais tarde hoje.
Entende-se que o trabalho da NCA na Evil Corp não parou desde a perturbação e a tempestade de sanções em 2019, que se acredita terem prejudicado significativamente a sua atividade desde então.
A interrupção levou a danos à reputação semelhantes ao que A ação de fevereiro contra a LockBit tevee a sua infra-estrutura precisava de ser reconstruída. A operação nunca mais foi a mesma e alguns de seus membros passaram a seguir outras linhas de trabalho, geralmente todas relacionadas a malware.
Na altura, os investigadores responsáveis pela aplicação da lei prometeram nunca desistir até que os principais membros fossem levados à justiça, e essa ambição persiste cinco anos depois. ®