Mardi, les autorités américaines et britanniques ont révélé que l'instigateur de LockBit, l'un des groupes de ransomware les plus prolifiques et les plus dommageables de l'histoire, était un Russe de 31 ans nommé Dmitry Yuryevich Khoroshev, alias "LockbitSupp".
Comme c'est la coutume dans ce genre d'annonces, les forces de l'ordre ont publié des photos de Khoroshev, ainsi que des détails sur l'opération de son groupe. Le département de la justice américain a inculpé Khoroshev de plusieurs crimes informatiques, de fraude et d'extorsion. Dans le processus, les fédéraux ont également révélé certains détails sur les opérations passées de LockBit.
Plus tôt cette année, les autorités ont saisi l'infrastructure de LockBit et les banques de données du gang, révélant des détails clés sur le fonctionnement de LockBit.
Aujourd'hui, nous avons plus de détails sur ce que les fédéraux ont appelé "une organisation criminelle massive qui a, à certains moments, été classée comme le groupe de ransomware le plus prolifique et destructeur au monde".
Khoroshev avait un deuxième surnom : putinkrab
Le chef de LockBit était publiquement connu sous le surnom peu imaginatif de LockBitSupp. Mais Khoroshev avait aussi une autre identité en ligne : putinkrab. L'acte d'accusation ne contient aucune information sur le pseudo en ligne, bien qu'il semble faire référence au président russe Vladimir Poutine. Sur Internet, cependant, plusieurs profils utilisant le même surnom sur Flickr, YouTube et Reddit, bien qu'il soit peu clair si ces comptes étaient gérés par Khoroshev.
LockBit a également visé des victimes en Russie
Dans le monde de la cybercriminalité russe, selon des experts, il y a une règle sacrée et non écrite : pirater quelqu'un en dehors de la Russie, et les autorités locales vous laisseront tranquille. Étonnamment, selon les fédéraux, Khoroshev et ses co-conspirateurs ont également utilisé LockBit contre plusieurs victimes russes.
Il reste à voir si cela signifie que les autorités russes iront après Khoroshev, mais au moins maintenant elles savent qui il est.
Khoroshev surveillait de près ses affiliés
Les opérations de ransomware comme LockBit sont connues sous le nom de ransomware-as-a-service. Cela signifie qu'il y a des développeurs qui créent le logiciel et l'infrastructure, comme Khoroshev, puis il y a des affiliés qui opèrent et déploient le logiciel, infectant des victimes et extorquant des rançons. Les affiliés payaient à Khoroshev environ 20% de leurs recettes, ont affirmé les fédéraux.
Comme le mentionne l'acte d'accusation, ce modèle d'entreprise permettait à Khoroshev de "surveiller étroitement" ses affiliés, y compris en ayant accès aux négociations avec les victimes et parfois en y participant. Khoroshev exigeait même des documents d'identification de ses co-conspirateurs affiliés, qu'il conservait également sur son infrastructure. C'est probablement ainsi que les forces de l'ordre ont pu identifier certains des affiliés de LockBit.
Khoroshev a également développé un outil appelé "StealBit" qui complétait le ransomware principal. Cet outil permettait aux affiliés de stocker les données volées des victimes sur les serveurs de Khoroshev et parfois de les publier sur le site officiel de fuites de LockBit sur le dark web.
Les paiements de rançons de LockBit s'élevaient à environ 500 millions de dollars
LockBit a été lancé en 2020, et depuis lors, ses affiliés ont extorqué avec succès au moins environ 500 millions de dollars à environ 2500 victimes, qui comprenaient "de grandes multinationales aux petites entreprises et aux particuliers, ainsi que des hôpitaux, des écoles, des organisations à but non lucratif, des installations d'infrastructure critique, et des agences gouvernementales et des forces de l'ordre".
Outre les paiements de rançon, LockBit a "causé des dommages dans le monde entier totalisant des milliards de dollars américains", car le gang a perturbé les opérations des victimes et forcé de nombreuses personnes à payer des services d'intervention et de récupération après l'incident, ont affirmé les fédéraux.
Khoroshev a contacté les autorités pour identifier certains de ses affiliés
Probablement le plus choquant des dernières révélations : en février, après que la coalition des agences de la force publique internationales ait fermé le site web et l'infrastructure de LockBit, Khoroshev "a communiqué avec les forces de l'ordre et a offert ses services en échange d'informations concernant l'identité de ses concurrents dans le ransomware-as-a-service".
Selon l'acte d'accusation, Khoroshev a demandé aux forces de l'ordre de "me donner les noms de mes ennemis".
