Policiais europeus prendem 4 pessoas, incluindo suposto desenvolvedor do LockBit, relaxando nas férias
Com base no sucesso do que é conhecido por aqui como LockBit Leak Week em fevereiro, as autoridades dizem que prenderam mais quatro indivíduos com ligações com o agora destruído império de ransomware LockBit.
A primeira prisão foi ordenada pela Gendarmaria Francesa depois de terem sido alertados para o facto de um suposto desenvolvedor do LockBit ter saído de férias para um território que tinha um acordo de extradição com a França.
Os criminosos de ransomware normalmente gostam do fato de os promotores russos fecharem os olhos para eles, desde que os criminosos não ataquem organizações em seu país natal ou em nações aliadas. Isto também significa que algemar esses extorionistas é notoriamente difícil, a menos que sejam tolos o suficiente para se aventurarem em algum lugar onde as autoridades russas não possam protegê-los de pedidos de extradição como este.
Cinco meses após a remoção, o LockBit é uma sombra do que era
A lei francesa proíbe a identificação do indivíduo preso, e o país em que o suspeito foi detido também não foi especificado, no entanto, uma postagem no blog de vazamento da LockBit dizia: “Este indivíduo está enfrentando acusações graves no caso central francês contra o LockBit organizado grupo criminoso.”
É certamente uma vitória rara para as autoridades que até agora passaram muitos anos tentando algemar os principais suspeitos de LockBit e ransomware.
A prisão ocorreu em agosto, mesmo mês em que mais dois indivíduos foram presos no Reino Unido – um devido a suspeitas de ligações com uma afiliada da LockBit e outro por suspeita de crimes de lavagem de dinheiro.
Mais uma vez, as suas identidades não foram reveladas pela Agência Nacional do Crime britânica (NCA), mas a polícia disse que as identidades dos suspeitos foram deduzidas depois de analisarem pilhas de dados apreendidos durante a operação de Fevereiro. perturbação da gangue.
O site LockBit, aparentemente sob o controle da polícia, diz atualmente: “Ambos os indivíduos foram identificados através da análise e enriquecimento de dados adquiridos durante o curso da Operação Cronos. A Unidade Nacional de Crimes Cibernéticos da NCA continua a analisar proativamente esses dados em ritmo acelerado, trabalhando em estreita colaboração com parceiros internacionais para identificar identidades do mundo real suspeitas de estarem envolvidas com o LockBit.
“Mais uma vez, agradecemos a Dmitry Khoroshev, também conhecido como LockBitSupp, por nos permitir comprometer sua plataforma e descobrir todos esses dados interessantes (eles mantêm nossas equipes ocupadas!)”
A Guardia Civil espanhola também interveio, prendendo o que descreveu como “um suspeito chave” no aeroporto de Madrid. Identidade ocultada, eles são suspeitos de serem proprietários de um chamado alojamento à prova de balas negócios – um dos principais facilitadores da infraestrutura cibercriminosa como a da LockBit.
As empresas de hospedagem à prova de balas oferecem essencialmente os mesmos serviços fundamentais de hospedagem na Internet – servidores, armazenamento, etc. – que equivalentes legítimos, mas não respondem a denúncias de que seus clientes infringem a lei e causam abusos online. Isso permite que esses clientes escapem impunes de todo tipo de coisa. Esses hosters também podem mover servidores entre territórios para fugir das jurisdições que estão sob seu controle.
Embora isso seja um pouco difícil quando o homem consegue arrebatar o que eles acham que são suas caixas e prender alguém suspeito de ser o administrador dessas máquinas.
“Nove servidores relevantes da infraestrutura LockBit foram acessados e apreendidos”, disseram os policiais por trás Operação Cronosuma colaboração policial global para derrubar a gangue LockBit. “Informações relevantes para processar os principais membros e afiliados do grupo de ransomware foram obtidas e estão sendo analisadas.”
Cair no oceano
As prisões anunciadas hoje marcam apenas quatro das poucas já feitas em relação a supostos membros do LockBit, com alguns, como os anunciados hoje, ainda sem terem sido nomeados.
O blog de vazamento do LockBit, sob o controle da Operação Cronos da polícia, foi revivido para divulgar notícias de quatro prisões de supostos associados de gangues
Por exemplo, o trabalho árduo ucraniano prendeu pai e filho suspeitos de serem afiliados da LockBit no início deste ano, pouco antes de ocorrer a interrupção da gangue pela aplicação da lei. Presos a pedido do governo francês, os dois nunca foram identificados.
Isto foi anunciado enquanto a NCA estava em pleno andamento com a LockBit Leak Week – uma semana cheia de informações vazadas usando o próprio site da LockBit, uma vez apreendido, para desacreditar o grupo e matar sua marca.
Para aumentar a dor, os EUA também indiciaram dois outros suspeitos de serem afiliados da LockBit, Artur Sungatov e Ivan Kondratyev, mas estes dois ainda não foram detidos.
O russo-canadense Mikhail Vasiliev, no entanto, foi condenado a quatro anos de prisão por oito acusações de extorsão cibernética, danos e acusações de armas contra vítimas canadenses no início deste ano. Ele ainda não foi extraditado para os EUA para enfrentar acusações específicas do LockBit.
Em 2023, Ruslan Magomedovich Astamirov, que tinha apenas 20 anos no momentopor alguma razão desconhecida, foi submetido a uma entrevista voluntária do FBI no Arizona e, depois de ter seus dispositivos vasculhados, foi preso após ser suspeito de ser responsável por pelo menos cinco ataques de ransomware LockBit.
Um mês antes, em maio de 2023, Mikhail Pavlovich Matveev, também suspeito de ser afiliado da LockBit, também foi indiciado pelos EUAmas até agora manteve-se bem longe de qualquer lugar com o qual os EUA tenham um acordo de extradição em vigor. Ele continua foragido.
Mais recentemente, no entanto, a polícia ucraniana prendeu novamente outra suposta afiliada da LockBit, acusada de atacar uma grande multinacional – isso é o mais específico que conseguimos – em 2021 usando o ransomware da Conti. Tal como acontece com a dupla pai-filho, a identidade da pessoa presa foi mantida em segredo.
Por um lado, existe a presunção de inocência que deve ser mantida, e nomear alguém, associando-o a um crime que não cometeu, pode ser devastador. Isso está entendido. Por outro lado, seria sensato ter cuidado com uma situação kafkiana que se desenvolve em torno destes alegados extorsionários cibernéticos.
Suspeitas cimentadas
Uma parte da LockBit Leak Week em fevereiro foi a revelação feita pela equipe da Operação Cronos liderada pela NCA de que eles encontraram evidências de dados roubados mantidos pela LockBit mesmo depois que a vítima pagou o resgate.
Foi contra a sabedoria convencional, perpetuada pelos operadores de ransomware, de que, se um pagamento for feito, os dados fornecidos durante o ataque e usados como alavancagem para um pagamento seriam destruídos.
No entanto, muitos na comunidade de segurança cibernética duvidavam que esta promessa – se é que alguma vez se poderia acreditar na promessa de um criminoso deste tipo – seria verdadeiramente honrada.
As alegações feitas pelos disruptores do LockBit satisfizeram essas suspeitas, mas pouco mais foi dito sobre o assunto até hoje.
As autoridades agora dizem que depois de passar meses vasculhando o código-fonte do LockBit, encontraram evidências que sugerem que o LockBit não apenas manteve as informações das vítimas mesmo após o pagamento, mas as ferramentas fornecidas aos afiliados foram desenvolvidas para que os dados nunca fossem excluídos.
Uma explicação técnica do processo foi publicada hoje no próprio site da LockBit, que permanece sob controle da Operação Cronos.
Nele, os investigadores puderam deduzir que as ferramentas foram desenvolvidas para que os dados fossem mantidos mesmo que uma afiliada pensamento eles estavam excluindo. Uma vez pago, um afiliado geralmente clica em um botão que aparentemente apaga todos os dados da vítima que o criminoso havia capturado e postava no site da LockBit, mas isso não aconteceu.
No painel de afiliados do LockBit, havia uma opção para excluir os dados da vítima. Apresentaria uma janela pop-up intitulada “Excluir esta pasta?” com dois botões: “Sim” e “Não”.
Pesquisando o código desses botões, os investigadores descobriram que o botão “Não” na verdade não significava não. Clicar nele apenas enviou uma solicitação ao LockBit HQ, que poderia então aprovar ou negar a solicitação para excluir os dados da vítima.
E mesmo que essa solicitação fosse aprovada, cada arquivo teria que ser excluído manualmente pelo administrador do LockBit, inserindo o ID de cada pasta iterativamente, um de cada vez.
Apenas o suspeito da LockBit, Dmitry Khoroshev, tinha a capacidade de realmente excluir os dados, afirmou a Operação Cronos, e a afiliada nunca poderia saber se os dados foram realmente apagados.
Além disso, as autoridades disseram que o LockBit nunca excluiu nenhum dado de 2022 em diante.
A descoberta reforça ainda mais a ideia de que pagar criminosos de ransomware não garantirá que os dados roubados durante o ataque fiquem automaticamente seguros contra aqueles que tentariam utilizá-los indevidamente.
“LockBit decepcionou você”, disse Cronos. “Afiliados, desenvolvedores e lavadores de dinheiro, esperamos entrar em contato com vocês em breve.” ®