JAV teisingumo departamentas apmokestino Rusijos ir Izraelio dvigubą pilietį už įtariamą vaidmenį kuriant kenkėjiškas programas ir valdant liūdnai pagarsėjusios išpirkos programų grupės „LockBit“ infrastruktūrą.
Remiantis šiandien Naujojo Džersio apygardoje atskleistu baudžiamuoju skundu, 51 metų Rusijos ir Izraelio pilietis Rostislavas Panevas tariamai padėjo sukurti „LockBit“ išpirkos reikalaujančių programų šifruoklius ir pritaikytą „StealBit“ duomenų vagystės įrankį, dažniausiai naudojamą atakose.
Panevas rugpjūtį buvo suimtas Izraelyje, kur laukia laukiamo JAV ekstradicijos prašymo. Izraelio naujienų svetainė „Ynet“ pirmą kartą pranešė apie suėmimą.
Baudžiamajame skunde teigiama, kad Izraelio teisėsauga jo kompiuteryje rado kredencialus į internetinę saugyklą, kurioje yra „LockBit“ šifruotojų ir „StealBit“ įrankio šaltinio kodas.
„Kaip teigiama pakeičiančiame skunde, tuo metu, kai Panevas buvo areštuotas Izraelyje rugpjūčio mėn., teisėsauga Panev kompiuterio administratoriaus kredencialuose aptiko internetinės saugyklos, kuri buvo priglobta tamsiajame žiniatinklyje ir kurioje buvo saugomas kelių „LockBit“ kūrėjo versijų šaltinio kodas, kuri leido „LockBit“ filialams sukurti pasirinktines „LockBit“ išpirkos reikalaujančios kenkėjiškos programos versijas tam tikroms aukoms“, – rašoma skundas.
„Toje saugykloje teisėsauga taip pat aptiko „LockBit“ įrankio „StealBit“ šaltinio kodą, kuris padėjo „LockBit“ filialams išfiltruoti duomenis, pavogtus per LockBit atakas. Teisėsauga taip pat aptiko „LockBit“ valdymo skydelio, internetinės informacijos suvestinės, kurią palaiko „LockBit“ kūrėjai, skirtą „LockBit“ ir „LockBit“ kūrėjams, kredencialus. kuriuos priglobia tie kūrėjai tamsiajame žiniatinklyje.
Šaltinis: Baudžiamasis skundas
Saugyklose taip pat buvo „Conti ransomware“ šifruotojų šaltinio kodas, kurį Ukrainos tyrinėtojas nutekino po to, kai Conti stojo į Rusiją dėl invazijos į Ukrainą.
Manoma, kad šis šaltinio kodas buvo naudojamas kuriant „LockBit Green“ šifruoklį, kuris buvo pagrįstas Conti šifruokliu.
Skunde taip pat teigiama, kad Panevas naudojo įsilaužimo forumo privačių pranešimų funkciją, kad bendrautų su pagrindiniu „LockBit“ operatoriumi „LockBitSupp“, dabar identifikuotu kaip Dmitrijus Jurjevičius Choroševas. Šie pranešimai buvo skirti aptarti darbus, kuriuos reikia užkoduoti „LockBit“ kūrimo priemonėje ir operacijos valdymo skydelyje.
Tariamai Panevas per 18 mėnesių uždirbo apie 230 000 USD už savo darbą su „LockBit“ išpirkos reikalaujančių programų gauja.
„Teismo dokumentai taip pat rodo, kad nuo 2022 m. birželio mėn. iki 2024 m. vasario mėn. pagrindinis LockBit administratorius atliko kriptovaliutų pervedimus, išplautos per vieną ar daugiau neteisėtų kriptovaliutų maišymo paslaugų, už maždaug 10 000 USD per mėnesį į Panevui priklausančią kriptovaliutų piniginę“, tariamas DOJ pranešimas.
„Tie pervedimai tuo laikotarpiu siekė daugiau nei 230 000 USD.
Po suėmimo duodamas interviu Izraelio policijai Panevas tariamai prisipažino dirbęs programavimo darbus LockBit išpirkos reikalaujančiai programinei įrangai ir gavęs kompensaciją už savo laiką.
Jei Panevas bus išduotas JAV, jis bus teisiamas Naujojo Džersio apygardoje.
„LockBit“ trikdymas
Panevas yra septintasis „LockBit“ išpirkos reikalaujančių programų gaujos narys nuo 2023 m., o tarptautinė teisėsauga daug dėmesio skiria operacijos sutrikdymui.
2023 m. JAV teisingumo departamentas apkaltino Rusijos pilietį, vardu Michailas Pavlovičius Matvejevas (taip pat žinomas kaip Wazawaka, Uhodiransomwar, m1x ir Boriselcin) už dalyvavimą „Hive“, „LockBit“ ir „Babuk“ išpirkos reikalaujančiose programose.
2024 m. vasario mėn. teisėsaugos institucijos iš 10 šalių sutrikdė „LockBit“ išpirkos reikalaujančios programos operaciją per bendrą operaciją „Operation Cronos“. Šios operacijos metu teisėsauga įsilaužė į LockBit infrastruktūrą, kad pavogtų duomenis, filialų sąrašus ir daugiau nei 7000 iššifravimo raktų.
Šie iššifravimo raktai leido įmonėms visame pasaulyje nemokamai atkurti savo duomenis nemokant išpirkos.
Tą patį mėnesį JAV apkaltino du Rusijos piliečius Arturą Sungatovą ir Ivaną Gennadievičių Kondratjevą (dar žinomą kaip Bassterlord) už dalyvavimą „LockBit“ atakose.
2024 m. gegužės mėn. JAV apkaltino, skyrė sankcijas ir atskleidė, kad „LockBit“ išpirkos reikalaujančios programos operatorius tariamai buvo Rusijos pilietis Dmitrijus Jurjevičius Choroševas, dar žinomas kaip „LockBitSupp“ ir „putinkrab“.
Liepos mėnesį Rusijos pilietis Ruslanas Magomedovičius Astamirovas ir Kanados/Rusijos pilietis Michailas Vasiljevas pripažino kaltę prisidėję prie „LockBit“ išpirkos reikalaujančios programos operacijos ir surengę daugybę atakų.
JAV Valstybės departamento programa „Rewards for Justice“ šiuo metu siūlo 10 mln.