Новые детали привнесли больше ясности в дело «великого и ужасного» LockBitSupp.
На прошлой неделе США, совместно с Великобританией и Австралией, против Дмитрия Хорошева, которого считают лидером известной вымогательской группировки LockBit.
Настоящий лидер LockBit, известный в Сети под псевдонимом «LockBitSupp», быстро утверждая, что последние ошиблись. Якобы он — никакой не Хорошев, и ему жаль этого парня в связи с возможными проблемами, с которыми он теперь может столкнуться из-за ложных обвинений в связи с LockBit.
Исследователь Брайан Кребс с портала KrebsonSecurity решил собственноручно разобраться, какими фактами оперировали власти сразу трёх стран, когда выносили свои обвинения. В данном материале мы кратко ознакомимся с к которым пришёл киберэксперт, основываясь на сведениях правоохранителей и других независимых исследователей.
7 мая Министерство юстиции США предъявило Хорошеву обвинения по 26 преступным эпизодам, включая вымогательство, мошенничество и сговор. Власти утверждают, что Хорошев создал, использовал сам и распространял среди аффилиатов вирус-вымогатель LockBit, успев за время активности группировки заработать более $100 миллионов. Тем временем, суммарные доходы LockBit за четыре года своего существования составили около полумиллиарда долларов.
Федеральные следователи заявляют, что Хорошев управлял LockBit по модели (вымогательство как услуга), получая 20% от суммы выкупа, а оставшиеся 80% шли аффилиатам, распространявшим вирус. Финансовые санкции, наложенные на Хорошева Министерством финансов США, включают его известные электронные адреса, домашний адрес, номер паспорта и даже налоговый идентификатор.
Согласно данным DomainTools.com, электронный адрес «sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, включая бизнес, зарегистрированный на имя Хорошева, под названием «tkaner[.]com», который представляет собой блог об одежде и ткани.
Поиск на Constella Intelligence по номеру телефона, указанному в регистрационных документах Tkaner, показал несколько официальных документов, подтверждающих владение номером Дмитрием Юрьевичем Хорошевым.
Другой домен, зарегистрированный на этот номер телефона, «stairwell[.]ru», ранее рекламировал деревянные лестницы, однако ныне не функционирует. В отчётах DomainTools отмечается, что этот домен в течение нескольких лет содержал имя «Dmitrij Ju Horoshev» и электронный адрес «pin@darktower[.]su».
По данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Юрьевича Хорешева из Воронежа у хостинг-провайдера FirstVDS. Кроме того, компания Intel 471 обнаружила, что этот же адрес также использовался русскоязычным участником под ником «Pin» на англоязычном киберпреступном форуме Opensc, где «Pin» был особенно активен в 2012 году и писал о проблемах шифрования данных и обходе защитных механизмов Windows.
На форуме Antichat участник «Pin» рекомендовал связываться с ним через ICQ под номером 669316. По данным Intel 471, этот ICQ-номер в апреле 2011 года был зарегистрирован на форуме Zloy под именем «NeroWolfe» с адресом «d.horoshev@gmail[.]com» и IP-адресом из Воронежа.
Аккаунт «NeroWolfe» использовал те же пароли, что и на «stairwell.ru», и был зарегистрирован на более десяти других киберпреступных форумов в период с 2011 по 2015 год. «NeroWolfe» представил себя как системного администратора и программиста на C++ и предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.
В 2019 году пользователь под ником «Putinkrab» начал предлагать исходный код вирусов-вымогателей на киберпреступных форумах XSS, Exploit и UFOLabs. В апреле 2019 года он запустил партнёрскую программу с разделением выкупа 20/80 в пользу партнёров. Последний пост от пользователя с этим ником был отправлен 23 августа 2019 года.
Министерство юстиции заявляет, что через пять месяцев был официально запущен партнёрский проект LockBit, которым, как утверждается, и руководил Хорошев, но уже под псевдонимом «LockBitSupp». Кроме того, оригинальный шифровальщик LockBit был написан на языке программирования C, в котором «NeroWolfe» был экспертом.
Пока не доказано, что Хорошев наверняка является «LockBitSupp», но вся его деятельность на протяжении многих лет указывает на глубокую вовлеченность в различные киберпреступные схемы с ботнетами, кражей данных и вредоносным ПО. Хорошев демонстрировал мастерство в области шифрования и создания скрытных программ, что явно сделало его востребованным в RaaS-индустрии.
В феврале 2024 года ФБР в даркнете после длительной операции «Cronos». С учётом предъявленных обвинений, санкций против Хорошева и других участников LockBit, власти, вероятно, обладают обширной информацией о деятельности группы. Едва ли они могли ошибиться с учётом столь многочисленных и явных связей с Хорошевым.
Кроме того, вскоре после обвинений в адрес Хорошева некоторые независимые исследователи безопасности раскрыли в Telegram десятки кредитных карт и банковских счетов, связанных с ним. Все они, совершенно точно, были бы далеко не лишними для скрытного вывода денежных средств после проведения масштабных вымогательских операций.
Подробнее:
На прошлой неделе США, совместно с Великобританией и Австралией, против Дмитрия Хорошева, которого считают лидером известной вымогательской группировки LockBit.
Настоящий лидер LockBit, известный в Сети под псевдонимом «LockBitSupp», быстро утверждая, что последние ошиблись. Якобы он — никакой не Хорошев, и ему жаль этого парня в связи с возможными проблемами, с которыми он теперь может столкнуться из-за ложных обвинений в связи с LockBit.
Исследователь Брайан Кребс с портала KrebsonSecurity решил собственноручно разобраться, какими фактами оперировали власти сразу трёх стран, когда выносили свои обвинения. В данном материале мы кратко ознакомимся с к которым пришёл киберэксперт, основываясь на сведениях правоохранителей и других независимых исследователей.
7 мая Министерство юстиции США предъявило Хорошеву обвинения по 26 преступным эпизодам, включая вымогательство, мошенничество и сговор. Власти утверждают, что Хорошев создал, использовал сам и распространял среди аффилиатов вирус-вымогатель LockBit, успев за время активности группировки заработать более $100 миллионов. Тем временем, суммарные доходы LockBit за четыре года своего существования составили около полумиллиарда долларов.
Федеральные следователи заявляют, что Хорошев управлял LockBit по модели (вымогательство как услуга), получая 20% от суммы выкупа, а оставшиеся 80% шли аффилиатам, распространявшим вирус. Финансовые санкции, наложенные на Хорошева Министерством финансов США, включают его известные электронные адреса, домашний адрес, номер паспорта и даже налоговый идентификатор.
Согласно данным DomainTools.com, электронный адрес «sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, включая бизнес, зарегистрированный на имя Хорошева, под названием «tkaner[.]com», который представляет собой блог об одежде и ткани.
Поиск на Constella Intelligence по номеру телефона, указанному в регистрационных документах Tkaner, показал несколько официальных документов, подтверждающих владение номером Дмитрием Юрьевичем Хорошевым.
Другой домен, зарегистрированный на этот номер телефона, «stairwell[.]ru», ранее рекламировал деревянные лестницы, однако ныне не функционирует. В отчётах DomainTools отмечается, что этот домен в течение нескольких лет содержал имя «Dmitrij Ju Horoshev» и электронный адрес «pin@darktower[.]su».
По данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Юрьевича Хорешева из Воронежа у хостинг-провайдера FirstVDS. Кроме того, компания Intel 471 обнаружила, что этот же адрес также использовался русскоязычным участником под ником «Pin» на англоязычном киберпреступном форуме Opensc, где «Pin» был особенно активен в 2012 году и писал о проблемах шифрования данных и обходе защитных механизмов Windows.
На форуме Antichat участник «Pin» рекомендовал связываться с ним через ICQ под номером 669316. По данным Intel 471, этот ICQ-номер в апреле 2011 года был зарегистрирован на форуме Zloy под именем «NeroWolfe» с адресом «d.horoshev@gmail[.]com» и IP-адресом из Воронежа.
Аккаунт «NeroWolfe» использовал те же пароли, что и на «stairwell.ru», и был зарегистрирован на более десяти других киберпреступных форумов в период с 2011 по 2015 год. «NeroWolfe» представил себя как системного администратора и программиста на C++ и предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.
В 2019 году пользователь под ником «Putinkrab» начал предлагать исходный код вирусов-вымогателей на киберпреступных форумах XSS, Exploit и UFOLabs. В апреле 2019 года он запустил партнёрскую программу с разделением выкупа 20/80 в пользу партнёров. Последний пост от пользователя с этим ником был отправлен 23 августа 2019 года.
Министерство юстиции заявляет, что через пять месяцев был официально запущен партнёрский проект LockBit, которым, как утверждается, и руководил Хорошев, но уже под псевдонимом «LockBitSupp». Кроме того, оригинальный шифровальщик LockBit был написан на языке программирования C, в котором «NeroWolfe» был экспертом.
Пока не доказано, что Хорошев наверняка является «LockBitSupp», но вся его деятельность на протяжении многих лет указывает на глубокую вовлеченность в различные киберпреступные схемы с ботнетами, кражей данных и вредоносным ПО. Хорошев демонстрировал мастерство в области шифрования и создания скрытных программ, что явно сделало его востребованным в RaaS-индустрии.
В феврале 2024 года ФБР в даркнете после длительной операции «Cronos». С учётом предъявленных обвинений, санкций против Хорошева и других участников LockBit, власти, вероятно, обладают обширной информацией о деятельности группы. Едва ли они могли ошибиться с учётом столь многочисленных и явных связей с Хорошевым.
Кроме того, вскоре после обвинений в адрес Хорошева некоторые независимые исследователи безопасности раскрыли в Telegram десятки кредитных карт и банковских счетов, связанных с ним. Все они, совершенно точно, были бы далеко не лишними для скрытного вывода денежных средств после проведения масштабных вымогательских операций.
Подробнее:
