• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

LockBit Ransomware: операция Cronos

admin

#root
Администратор
Регистрация
20.01.2011
Сообщения
7,665
Розыгрыши
0
Реакции
135


Правоохранительные органы из 11 стран предотвратили печально известную операцию вымогателей LockBit в рамках совместной операции, известной как "Операция Cronos".
Согласно баннеру, размещенному на веб-сайте утечки данных LockBit, сайт теперь находится под контролем Национального агентства по борьбе с преступностью Соединенного Королевства.

"Сайт теперь находится под контролем правоохранительных органов. Этот сайт теперь находится под контролем Национального агентства по борьбе с преступностью Великобритании, работающего в тесном сотрудничестве с ФБР и международной целевой группой по обеспечению правопорядка "Операция Кронос"", - говорится на баннере. "Мы можем подтвердить, что услуги Lockbit были прерваны в результате действий международных правоохранительных органов - это текущая и развивающаяся операция".

В то время как сайт утечки Lockbit больше недоступен, демонстрируя баннер захвата, размещенный ниже, или ошибку "Невозможно подключиться", сообщающую об отказе в подключении, некоторые другие темные веб-сайты банды (включая другие сайты, используемые для размещения данных и отправки личных сообщений банде) все еще работают.
Сайты LockBit по переговорам о выкупе не работают, но в настоящее время не отображают сообщение о конфискации от NCA.

"NCA может подтвердить, что сервисы LockBit были прерваны в результате действий международных правоохранительных органов. Это текущая и развивающаяся операция", - сказал BleepingComputer представитель NCA. Ожидается, что правоохранительные органы, стоящие за операцией Chronos, опубликуют совместный пресс-релиз завтра в 12:30 по центральноевропейскому времени.
"Мы можем подтвердить, что услуги Lockbit были прерваны в результате действий международных правоохранительных органов - это текущая и развивающаяся операция".

В то время как сайт утечки Lockbit больше недоступен, демонстрируя баннер захвата, размещенный ниже, или ошибку "Невозможно подключиться", сообщающую об отказе в подключении, некоторые другие темные веб-сайты банды (включая другие сайты, используемые для размещения данных и отправки личных сообщений банде) все еще работают.
Сайты LockBit по переговорам о выкупе не работают, но в настоящее время не отображают сообщение о конфискации от NCA.
"NCA может подтвердить, что сервисы LockBit были прерваны в результате действий международных правоохранительных органов. Это текущая и развивающаяся операция", - сказал BleepingComputer представитель NCA. Ожидается, что правоохранительные органы, стоящие за операцией "Хронос", опубликуют совместный пресс-релиз завтра в 12:30 по центральноевропейскому времени.

sc: bleepingcomputer.com/news/security/police-arrest-lockbit-ransomware-members-release-decryptor-in-global-crackdown
 
 
 
В сеть слили фото Bassterlord

Предполагаемые снимки Ивана Кондратьева, против которого были введены (Для просмотра ссылки Войди или Зарегистрируйся) санкции США за связи с LockBit, выложены в сети. Они появились (Для просмотра ссылки Войди или Зарегистрируйся) в аккаунте неизвестного человека с ником Alexa67506644 в социальной сети X (ранее — Twitter).

В одном из постов, посвященных Кондратьеву, приводится пикселизированное фото молодого человека в очках. Неизвестно, когда и кем был сделан этот снимок, также не приводится достаточных доказательств, что на них изображен Bassterlord.

«Bassterlord, ты — злой гений. Надеюсь, мама Лена гордится тобой», — сказано в сообщении.

Во втором посте напрямую связываются два снимка, якобы имеющих отношение к россиянину. Первый из них — выложенное некоторое время назад самим Bassterlord фото со спины, на котором скрыта татуировка в районе левого предплечья. Второй — фото Кондратьева, у которого на том же месте находится тату с трудно различимым мотивом. Несмотря на отсутствие прямых и неопровержимых доказательств, можно предположить, что данные снимки действительно имеют отношение к Кондратьеву и являются его деаноном.
 
LockBit в беде: названы имена членов группировки, деньги конфискованы, жертвы получили дешифратор

Крупнейшие силовые структуры мира отчитались об успешном проведении совместной операции Cronos, в ходе которой был нанесен мощнейший удар по позициям группировки LockBit. Среди прочего, были названы имена двух активных партнеров рансомварщиков, а их onion-домен перешел под полный контроль силовиков.

«В последние несколько дней Министерство юстиции США, действуя совместно с партнерами в Великобритании и других странах, работало над уничтожением LockBit — одной из самых распространенных программ-вымогателей. Общими усилиями нам удалось захватить и демонтировать инфраструктуру, которую киберпреступники использовали для нападения на 2000 жертв и вымогательство 120 миллионов долларов в виде выкупа», — заявил ( ) в специальном обращении генеральный прокурор США Меррик Гарланд (Merrick Garland).

Согласно данным от нескольких крупных силовых структур, которые собрали (Для просмотра ссылки Войди или Зарегистрируйся) воедино журналисты Bleeping Computer, на протяжении последнего месяца велась подготовка к неожиданному удару по позициям LockBit, который в итоге был нанесен в течение 12 часов. Его результатом стала компрометация основной платформы LockBit и другой критической инфраструктуры. В частности, были отключены 34 сервера группировки в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании.

«Кроме того, в Польше и Украине по запросу французских властей были арестованы двое участников LockBit. Органы Франции и США также выдали три международных ордера на арест и пять обвинительных заключений. Власти заморозили более 200 криптовалютных счетов, связанных с преступной организацией», — отмечается (Для просмотра ссылки Войди или Зарегистрируйся) уже в официальном отчете Европола.

Известно, что ключевую роль в захвате технической инфраструктуры LockBit сыграло Национальное агентство по борьбе с преступностью Великобритании. Под непосредственным контролем сотрудников этой структуры находится блог LockBit в дарке.

«Агентство также получило исходный код платформы LockBit и обширную информацию из своих систем об их деятельности, а также о тех, кто работал с ними и использовал их услуги для нанесения вреда организациям по всему миру. Некоторые данные в системах LockBit принадлежали жертвам, которые заплатили выкуп злоумышленникам, что свидетельствует о том, что даже если выкуп выплачивается, это не гарантирует, что данные будут удалены, несмотря на обещания преступников», — констатировали (Для просмотра ссылки Войди или Зарегистрируйся) в Национальном агентстве по борьбе с преступностью.

В распоряжении правоохранительных органов оказались также данные 14 тысяч мошеннических учетных записей, которые в тот или иной период времени использовались LockBit при проведении атак и для хранения украденных данных. В рамках операции Cronos правоохранительные органы получили более 1000 ключей дешифрования с захваченных серверов LockBit. Используя их, японская полиция, британские силовики и Федеральное бюро расследований при поддержке Европола разработали инструмент расшифровки LockBit 3.0 Black Ransomware.

Стоит отметить, что официальные обвинения также были выдвинуты против двух граждан России, в той или иной степени аффилированных с LockBit. Американский Минюст даже называет (Для просмотра ссылки Войди или Зарегистрируйся) их имена: это некто Артур Сунгатов и Иван Кондратьев, скрывающийся под ником Bassterlord. Данные о личностях арестованных членов LockBit ни одна из структур не приводит.
 
Стал известен способ взлома инфраструктуры LockBit

Инфраструктура LockBit перешла под контроль силовиков из-за использования последними эксплойта PHP. Об этом сообщили исследователи проекта vx-underground, сославшиеся на аккаунт представителя группировки LockBitSupp в мессенджере Tox.

«Администрация группировки вымогателей LockBit утверждает, что правоохранительные органы скомпрометировали их, используя критическую уязвимость CVE-2023-3824 (Для просмотра ссылки Войди или Зарегистрируйся, — говорится в сообщении.

Также стало известно что в статусе LockBitSupp в Tox содержится прямое упоминание эксплойта. При этом детальный способ использования уязвимости там не приводится.

«ФБР захватило серверы через PHP, резервные серверы без PHP трогать нельзя», — говорится в статусе.

Позднее в переписке с модератором форума XSS с ником Bratva представитель группировки признал, что именно он допустил ошибку, из-за которой стало возможным использование эксплойта. В этом же сообщении содержится намек на скорый запуск нового блога LockBit.

«Как закончу настройку нового сервера, донесу мнение в новом блоге. Пока можешь передать публике, что я [идиот], потому что не обновлял PHP; это чисто мой косяк. У меня была версия 8.1.2, благодаря чему и [накрыли] два сервера, где крутился этот PHP», — отметил LockBitSupp.

Группировка LockBit столкнулась с серьезными проблемами в последние сутки. Силовики из 11 стран мира конфисковали не менее 34 серверов рансомварщиков, арестованы 200 криптовалютных кошельков, а также два члены или партнера команды в Польше и в Украине. Названы также имена двоих аффилированных членов LockBit — Артура Сунгатова и Ивана Кондратьева, скрывающегося под ником Bassterlord. Инфраструктуре группировки нанесен серьезный удар.
 
США ввели санкции против Bassterlord из-за LockBit

Соединенные Штаты ввели официальные санкции против двоих россиян, которых Вашингтон подозревает в связях с группировкой LockBit. На сайте американского Минфина указано (Для просмотра ссылки Войди или Зарегистрируйся), что речь идет об Артуре Сунгатове и Иване Кондратьеве, скрывающимся под ником Bassterlord.

«Соединенные Штаты не потерпят попыток вымогательства у наших граждан и организаций, — заявил заместитель министра финансов Уолли Адеймо (Wally Adeyemo). — Мы продолжим защищать страну от киберпреступников и будем использовать все доступные инструменты, чтобы привлечь к ответственности людей, которые создают эти угрозы».

Об Иване Кондратьеве американским силовикам известно, что он живет в Новомосковске, а также является одним из ключевых партнеров LockBit через организованную им структуру National Hazard Society. По данным ФБР, Кондратьев в разное время также был связан с REvil, RansomEXX и Avaddon. О Сунгатове в Вашингтоне знают куда меньше, представляя его как партнера Lockbit.

Из отдельного документа, опубликованного (Для просмотра ссылки Войди или Зарегистрируйся) на сайте Минфина, можно узнать, что Сунгатову — 34 года, он родился в Казани. Bassterlord моложе (в апреле 2024 года ему исполнится 28 лет), известно, что он использовал почту sinner4iter@gmail[.]com. Также приводятся его паспортные данные.

Сами санкции достаточно примитивны и ложатся в общую канву правоприменительной практики в США. Все имущество россиян и их доли в собственности, находящиеся в Соединенных Штатах, должны быть заблокированы. То же самое касается любых организаций, которые прямо или косвенно, индивидуально или в совокупности, на 50 и более процентов принадлежат россиянам. Под запретом и любые сделки с ними.
 
Операция Кронос благополучно завершилась.

  • приняли двух украинских олигархов - отца и сына - в интерьерах советских времен панельной многоэтажки;
  • приняли вероятно нальщика-обменника или оператора миксера в Польше;
  • был непонятный арест во Франции (непонятный - этого года или чего-то связанное из прошлого);
  • кто не видел панельку ЛБ - увидел ее скриншоты от ФБР; увидели панельку управления серверами;
  • переговорки все были слиты за н-ое время, увидели опцию "скрытый чат" на скриншоте, которую каждый трактовал по-разному;
  • узнали сколько ЛБ заработал, благодаря Chainalysis (с оговорками со всех сторон, включая ЛБ, что это не все заработанное) - $91M c 5 января 2020;
  • была слита база аффов - большинство имен генерированные - но не все, я бы беспокоился больше по вашим токсам (особенно qтоксам);
  • деанон ЛБ судя по всему будет выполнен не со стороны ФБР, потому что они чего-то ссут; т.к. об ЛБ начал писать Кребс (https://krebsonsecurity[.]com/2024/02/fbis-lockbit-takedown-postponed-a-ticking-time-bomb-in-fulton-county-ga/) - я не удивлюсь, если через некоторое время деанон мы увидим там (возможно неправильный деанон);
  • Басстеру с партнером - сил, весь этот глум на фотками Басстера - не одобряю, тем, кто глумится - рекомендую посмотреть в зеркало;
  • ЛБ дал офицальные заявления - повторил взлом через старый пхп, восстановил блоги, сказал, что декрипторы в безопасности, а все остальные абзацы наполнены тревогой и развитием хардкорной конспирологии;
  • ФБР и другие мушкетеры сказали, что ЛБ не удаляет дату даже у тех, кто заплатил - ЛБ как Дартаньян сказал, что все они черти и это не так, с точки зрения здравого смысла - надо быть полным долбоебом, чтобы ожидать того, что дата будет полностью удалена;
  • попутно мы в очередной раз услышали мнение ЛБ по поводу его бана, ситуации с Мишоном, моих личных предложений, предложений Тохи, реакции камьюнити.

 
В LockBit не считают критичными последствия взлома инфраструктуры группировками сотрудниками Федерального бюро расследований США. Об этом глава сообщества LockBitSupp рассказал в интервью подкасту Click Here, который ведут журналисты The Record.

«Я знал, что рано или поздно ФБР меня взломает, и они это сделали. Поначалу я чувствовал страх и панику, но как только я понял, как они это сделали, я начал успокаиваться и приступил к работе над восстановлением инфраструктуры», — отметил LockBitSupp.

Он подтвердил, что силовикам удалось получить доступ к панелям и даже к будущим версиям программы-вымогателя. Вместе с тем, LockBitSupp не считает, что это оказывает какое-либо влияние на бизнес. Более того, он воспринимает произошедшее как дополнительную рекламу и «возможность показать всем силу своего характера».

«Меня невозможно запугать. То, что тебя не убивает, делает тебя сильнее, — констатировал LockBitSupp. — Я чувствовала, что за мной охотятся, как будто меня пытаются уничтожить».

Глава группировки заявил, что сотрудники ФБР много блефуют и пытаются запятнать его репутацию именно из-за того, что не могут его поймать. Однако надежды на уничтожение имиджа LockBit, по словам киберпреступника, разрушаются о доверие проверенных годами партнеров, у которых «нет причин не верить» лидеру сообщества.

«ФБР не может меня разозлить, они только учат меня и делают сильнее. Я люблю ФБР — без ФБР моя жизнь не была бы такой веселой, а они просто делают свою работу, — сказал LockBitSupp журналистам. — Вы когда-нибудь видели, чтобы партнерская программа продолжала работать после взлома ФБР? Битва проиграна, но войны не было. Я буду продолжать работать, пока бьется мое сердце, до самой смерти».

sc: therecord.media/after-lockbit-takedown-its-purported-leader-vows-to-hack-on
 

Несмотря на предпринятую в начале года спецслужбами 11 стран Operation Cronos в отношении северной инфраструктутуры LockBit, смогла перегруппироваться и возобновить работу своей RaaS.

Но, по всей видимости, ненадолго, ведь инициаторы операции предпринимают все новые шаги, пытаясь задушить ставшую уже легендой в сфере ransomware банду.

Силовики вновь активировали захваченный в ходе Operation Cronos Tor-сайт, разместив на нем ряд анонсов, в том числе обещая к 7 мая раскрыть личность LockBitSupps и других членов банды.

Изучив награбленное с 34 серверов в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании, спецслужбы, как ожидалось, вышли и на некоторых из операторов LockBit, чьи личности также будут опубличены.

Однако, по сообщению исследователей из VX-underground, киберподполье с заявлениями своих обидчиков не согласны, не понимая зачем устраивается все это шоу.

Цитата:
«Я не понимаю, зачем им нужно это маленькое шоу. Они явно расстроены тем, что мы продолжаем работать», — сказал LockBitSupp.
Кстати, в свое время Микки Бресман, гендиректор AD Semperis, уже предлагал Netflix снять сериал по мотивам событий вокруг LockBit. И, возможно, он имел бы неплохой успех, как в случае с Narcos.

Но, пока что история LockBit продолжается и вряд ли закончится после анонсированных спецслужбами утечек, скорее станет более динамичной и резонансной.

Во всяком случае, по заявлениям LockBit, намерена продолжать работу, вопреки любому давлению.
 
Руководителем хакерской группировки LockBit является гражданин России Дмитрий Хорошев, скрывающийся под ником LockBitSupp. Об этом заявили в Министерстве юстиции США, опубликовав фото воронежца, против которого с сегодняшнего дня введены санкции. Хорошеву также предъявлены официальные обвинения по 26 пунктам.

«Соединенные Штаты и их партнеры во всем мире полны решимости разрушить экосистему программ-вымогателей, в том числе путем раскрытия личностей тех, кто совершает атаки с их использованием против США», — заявил заместитель министра финансов страны по борьбе с терроризмом Брайан Нельсон.

Помимо этого, Госдеп США объявил о вознаграждении в размере до 10 миллионов долларов за информацию, которая позволит идентифицировать или определить местонахождение любого из высокопоставленных членов LockBit. Вдвое меньше, 5 миллионов, получат информаторы, сведения которых приведут к аресту или осуждению в любой стране любого лица, принимающего участие в распространении программы-вымогателя LockBit.

«Хорошев, будучи разработчиком LockBit, обычно получал 20 процентов от каждого выкупа, получаемого от жертв LockBit. Партнер, ответственный за атаку, получал оставшиеся 80 процентов. Таким образом Хорошев получил не менее 100 миллионов долларов в виде выплат в цифровой валюте», — говорится в сообщении Минюста.

Как отметили в Национальном криминальном агентстве Великобритании, данные, полученные из внутренних систем LockBit свидетельствуют о серьезном масштабе деятельности вымогателей. В период с июня 2022 года по февраль 2024 года с использованием их вредоноса было организовано более 7000 атак. В топ-5 пострадавших стран вошли США, Великобритания, Франция, Германия и Китай. В частности, атакам подверглись более 100 больниц и медицинских корпораций. При этом как минимум 2110 жертв были вынуждены вступить в переговоры с киберпреступниками.

• Source: Для просмотра ссылки Войди или Зарегистрируйся

• Source: Для просмотра ссылки Войди или Зарегистрируйся

KHOROSHEV, Dmitry Yuryevich (a.k.a. KHOROSHEV, Dmitrii Yuryevich; a.k.a. KHOROSHEV, Dmitriy Yurevich; a.k.a. YURIEVICH, Dmitry; a.k.a. "LOCKBITSUPP"), Russia; DOB 17 Apr 1993; POB Russian Federation; nationality Russia; citizen Russia; Email Address khoroshev1@icloud.com; alt. Email Address sitedev5@yandex.ru; Gender Male; Digital Currency Address - XBT bc1qvhnfknw852ephxyc5hm4q520zmvf9maphetc9z; Secondary sanctions risk: Ukraine-/Russia-Related Sanctions Regulations, 31 CFR 589.201; Passport 2018278055 (Russia); alt. Passport 2006801524 (Russia); Tax ID No. 366110340670 (Russia) (individual) [CYBER2].

• Video:
• Source: Для просмотра ссылки Войди или Зарегистрируйся

• Source: Для просмотра ссылки Войди или Зарегистрируйся


 
Lockbit Ransomware Group сегодня опубликовала сообщение о конкурсе (под названием: Competing.omg), чтобы связаться с Дмитрий Хорошев - они утверждают, что ФБР неверно, а Lockbitsupp не Dmitry Khoroshev. Они предлагают 1000 долларов, если вы можете связаться с Дмитрий Хорошев, чтобы узнать, что Он жив и здоров


 
«Я не Дмитрий Хорошев!»: глава LockBit объявляет войну ФБР

LockBitSupp дал эксклюзивное интервью, в котором развеял мифы о своей личности.

В эксклюзивном интервью для программы Click Here (Recorded Future), представитель группы LockBit, известный под псевдонимом LockBitSupp, решительно отвергает предположения о своей личности, представленные международными правоохранительными органами.

LockBitSupp подчеркнул, что он не является Дмитрием Юрьевичем Хорошевым, на которого недавно наложили санкции США, Великобритания и Австралия и который обвиняется в 26 уголовных преступлениях. Кроме того, США объявило награду в $10 млн. за информацию, которая поможет его арестовать.

В интервью, переданном по зашифрованному мессенджеру и переведенном с русского, LockBitSupp утверждает, что ФБР «сфабриковало дело» и выразил сожаление по поводу возможной судьбы настоящего Дмитрия Хорошева: «ФБР блефует, я не Дмитрий, мне жаль настоящего Дмитрия. Он поплатится за мои грехи».

Несмотря на захват серверов и инфраструктуры группы международными правоохранительными органами в феврале, LockBitSupp утверждает, что уровень его активности не уменьшился, а сезонное снижение активности весной — обычное явление. Главарь LockBit также подчеркивает, что давление правоохранительных органов только мотивирует его и его сообщников работать усерднее.

LockBitSupp выразил недоумение по поводу методов расследования, используемых ФБР, утверждая, что нет никаких доказательств его причастности к деятельности Дмитрия Хорошева: «Как они решили, что я Дмитрий Хорошев? На основании каких фактов? Где доказательства? Я всегда думал, что США — это правовое государство, где без доказательств обвинять невиновного нельзя. Я ошибался».

LockBitSupp заявляет, что его цель на ближайшие годы не изменилась: атаковать миллион компаний. Он выразил надежду на появление достойных конкурентов в сфере разработки вредоносного ПО, критикуя текущих «конкурентов» за недостаточный уровень мастерства.

В заключение интервью LockBitSupp пригласил присоединиться к его партнерской программе и «обогатиться вместе с ним», подчеркнув, что ФБР и другие правоохранительные органы «лгут и думают только о своей карьере, не заботясь о судьбе невинных людей».
 
По следам отгремевших новостей о деаноне LockBitSupp к делу подключается тяжёлая артиллерия: у Кребса классика OSINT-анализа по Дмитрию Хорошеву.

Спойлер: это не случайный невинный человек, а персонаж с историей киберпреступных дел длиною в 14 лет.
По следам почтовых ящиков и доменов Хорошева найдены посты на Opensc и Antichat в начале десятых. На форуме Zloy он был известен под ником NeroWolfe, кодер на C и C++ и разработчик малвари.

С опсеком у него было не очень: на ящик с xakep[.]ru под аккаунты с хакерских форумов была создана страница в VK под реальным именем.

Ну а после исчезновения последнего на три года в 2019-м всплыл небезызвестный товарищ Putinkrab, продававший RaaS на C.


krebsonsecurity.com/2024/05/how-did-authorities-identify-the-alleged-lockbit-boss/
 
Хорошев или не Хорошев? Могло ли ФБР ошибиться, связав мужчину с вымогательской империей LockBit.

Новые детали привнесли больше ясности в дело «великого и ужасного» LockBitSupp.

На прошлой неделе США, совместно с Великобританией и Австралией, предъявили обвинения и наложили санкции против Дмитрия Хорошева, которого считают лидером известной вымогательской группировки LockBit.

Настоящий лидер LockBit, известный в Сети под псевдонимом «LockBitSupp», быстро прокомментировал заявления правоохранителей, утверждая, что последние ошиблись. Якобы он — никакой не Хорошев, и ему жаль этого парня в связи с возможными проблемами, с которыми он теперь может столкнуться из-за ложных обвинений в связи с LockBit.

Исследователь Брайан Кребс с портала KrebsonSecurity решил собственноручно разобраться, какими фактами оперировали власти сразу трёх стран, когда выносили свои обвинения. В данном материале мы кратко ознакомимся с его расследованием и выводами, к которым пришёл киберэксперт, основываясь на сведениях правоохранителей и других независимых исследователей.

7 мая Министерство юстиции США предъявило Хорошеву обвинения по 26 преступным эпизодам, включая вымогательство, мошенничество и сговор. Власти утверждают, что Хорошев создал, использовал сам и распространял среди аффилиатов вирус-вымогатель LockBit, успев за время активности группировки заработать более $100 миллионов. Тем временем, суммарные доходы LockBit за четыре года своего существования составили около полумиллиарда долларов.

Федеральные следователи заявляют, что Хорошев управлял LockBit по модели RaaS (вымогательство как услуга), получая 20% от суммы выкупа, а оставшиеся 80% шли аффилиатам, распространявшим вирус. Финансовые санкции, наложенные на Хорошева Министерством финансов США, включают его известные электронные адреса, домашний адрес, номер паспорта и даже налоговый идентификатор.

Согласно данным DomainTools.com, электронный адрес «sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, включая бизнес, зарегистрированный на имя Хорошева, под названием «tkaner[.]com», который представляет собой блог об одежде и ткани.

Поиск на Constella Intelligence по номеру телефона, указанному в регистрационных документах Tkaner, показал несколько официальных документов, подтверждающих владение номером Дмитрием Юрьевичем Хорошевым.

Другой домен, зарегистрированный на этот номер телефона, «stairwell[.]ru», ранее рекламировал деревянные лестницы, однако ныне не функционирует. В отчётах DomainTools отмечается, что этот домен в течение нескольких лет содержал имя «Dmitrij Ju Horoshev» и электронный адрес «pin@darktower[.]su».

По данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Юрьевича Хорешева из Воронежа у хостинг-провайдера FirstVDS. Кроме того, компания Intel 471 обнаружила, что этот же адрес также использовался русскоязычным участником под ником «Pin» на англоязычном киберпреступном форуме Opensc, где «Pin» был особенно активен в 2012 году и писал о проблемах шифрования данных и обходе защитных механизмов Windows.

На форуме Antichat участник «Pin» рекомендовал связываться с ним через ICQ под номером 669316. По данным Intel 471, этот ICQ-номер в апреле 2011 года был зарегистрирован на форуме Zloy под именем «NeroWolfe» с адресом «d.horoshev@gmail[.]com» и IP-адресом из Воронежа.

Аккаунт «NeroWolfe» использовал те же пароли, что и на «stairwell.ru», и был зарегистрирован на более десяти других киберпреступных форумов в период с 2011 по 2015 год. «NeroWolfe» представил себя как системного администратора и программиста на C++ и предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.

В 2019 году пользователь под ником «Putinkrab» начал предлагать исходный код вирусов-вымогателей на киберпреступных форумах XSS, Exploit и UFOLabs. В апреле 2019 года он запустил партнёрскую программу с разделением выкупа 20/80 в пользу партнёров. Последний пост от пользователя с этим ником был отправлен 23 августа 2019 года.

Министерство юстиции заявляет, что через пять месяцев был официально запущен партнёрский проект LockBit, которым, как утверждается, и руководил Хорошев, но уже под псевдонимом «LockBitSupp». Кроме того, оригинальный шифровальщик LockBit был написан на языке программирования C, в котором «NeroWolfe» был экспертом.

Пока не доказано, что Хорошев наверняка является «LockBitSupp», но вся его деятельность на протяжении многих лет указывает на глубокую вовлеченность в различные киберпреступные схемы с ботнетами, кражей данных и вредоносным ПО. Хорошев демонстрировал мастерство в области шифрования и создания скрытных программ, что явно сделало его востребованным в RaaS-индустрии.

В феврале 2024 года ФБР захватило киберпреступную инфраструктуру LockBit в даркнете после длительной операции «Cronos». С учётом предъявленных обвинений, санкций против Хорошева и других участников LockBit, власти, вероятно, обладают обширной информацией о деятельности группы. Едва ли они могли ошибиться с учётом столь многочисленных и явных связей с Хорошевым.

Кроме того, вскоре после обвинений в адрес Хорошева некоторые независимые исследователи безопасности раскрыли в Telegram десятки кредитных карт и банковских счетов, связанных с ним. Все они, совершенно точно, были бы далеко не лишними для скрытного вывода денежных средств после проведения масштабных вымогательских операций.
 
Предполагаемый главарь LockBit использовал электронную почту с упоминанием фамилии при регистрации на дарк-форумах

Россиянин Дмитрий Хорошев, которому Соединенные Штаты предъявили обвинения в киберпреступлениях по 26 пунктам, не очень внимательно следил за своей цифровой гигиеной. Посвященный этому материал опубликовал известный западный ИБ-журналист Брайан Кребс, использовавший для анализа раскрытые Минюстом США почтовые адреса предполагаемого главаря LockBit — sitedev5@yandex[.]ru и khorochev1@icloud[.]com.

По данным DomainTools.com, первая почта использовалась для регистрации как минимум шести доменов, включая сайт компании tkaner[.]com, зарегистрированный на имя Хорошева и посвященный одежде и тканям. Поиск по указанному при регистрации номеру телефона (+79521020220) выводит несколько официальных документов, подтверждающих, что владеет им именно Хорошев.

Другой домен, зарегистрированный на этот номер, — stairwell[.]ru — содержал рекламу деревянных лестниц. По данным Constella Intelligence, для адресов электронной почты webmaster@stagerwell[.]ru и admin@stagewell[.]ru использовался пароль 225948. Кроме того, поиск на DomainTools дает узнать, что сайт с лестницами зарегистрировал Дмитрий Хорошев с почтой pin@darktower[.]su. Он снова выводит на Хорошева, так как именно этот человек именно с таким адресом регистрировался у хостинг-провайдера firstvds[.]ru. Компания по киберразведке Intel 471 обнаружила, что похожий ящик pin@darktower[.]ru применялся русскоязычным участником с ником Pin на англоязычном форуме по киберпреступности Opensc. Он был активен в марте 2012 года и написал 13 публикаций, которые в основном касались проблем шифрования данных или исправления ошибок в коде.

Также Pin проявлял активность на площадке Antichat, где в контактах оставил номер ICQ для связи (669316). Пользователь с таким же номером и с ником NeroWolfe присоединился к российскому форуму по киберпреступности Zloy, используя адрес электронной почты d.horochev@gmail[.]com и IP-адрес в Воронеже. При этом NeroWolfe использовал сочетание 225948 в качестве пароля на десятке форумов ру-дарка, позиционируя себя системным администратором и программистом на C++. Также он предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.

Несмотря на то, что приведенная Кребсом логическая не связывает напрямую Хорошева и LockBit, она дает представление о личности воронежца, явно связанного с киберпреступным миром. А его интересы и деятельность в первой половине 2010-х действительно могли привести к созданию первой версии известного вредоноса.
 
Агенты ФБР могли получить доступ к аккаунтам LockBit в Telegram

Сотрудники Федерального бюро расследований США могли перехватить управление над аккаунтами лидера LockBit. Как сообщает (Для просмотра ссылки Войди или Зарегистрируйся) Telegram-канал Club 1337, речь идет как о паблике группировке в популярном мессенджере, так и об учетной записи его владельца. В канале с регистрацией на @LockBitRaas (1660 подписчиков, более 5000 выложенных фото и 27,5 тысячи файлов) было изменено имя пользователя, новое — FBI_SUPP.

«Мы перехватили контроль над каналом и установили местонахождение его владельца. @LockBitSupp404 числился администратором в 10 других каналах в мессенджере. Этот аккаунт также теперь управляется нами», — говорится в сообщении FBI_SUPP.

На аватарку канала поставили фото россиянина Дмитрия Хорошева, который, по мнению американских следователей, и является главой группировки. Однако в аккаунте @LockBitSupp404 никаких изменений не произошло. Там по-прежнему стоит стандартная аватарка группировки, а в описании указано: «Не конфисковано, официальный аккаунт LockBit. Продаем базы данных».

Telegram-канал VX-underground утверждает (Для просмотра ссылки Войди или Зарегистрируйся), что канал @LockBitRaas, который не удается найти простым поиском в Telegram, может и не иметь отношения к группировке.

«Мы понятия не имеем, что это за учетная запись и кто это, но учетные записи ФБР в Telegram перечислены на сайте Министерства юстиции США. Это самозванцы», — полагают исследователи.

Имя Дмитрия Хорошева и его личные данные были опубликованы (Для просмотра ссылки Войди или Зарегистрируйся) Министерством юстиции США 7 мая. Воронежцу предъявили обвинения по 26 пунктам и ввели против него санкции. Также утверждалось, что именно Хорошев скрывается за ником LockBitSupp.
 
На DEF CON рассказали историю идентификации администратора LockBit

В идентификации администратора программы-вымогателя LockBit, известного под никами LockBitSupp и putinkrab, участвовал исследователь ИБ-фирмы Analyst1 Джон ДиМаджио. В рамках конференции DEF CON он поделился историей внедрения в банду и рассказал о наводке, которая помогла в установлении личности хакера — 31-летнего уроженца Воронежа Дмитрия Хорошева. Сжатую версию истории опубликовал Techcrunсh:

Для просмотра ссылки Войди или Зарегистрируйся
Для знакомства с LockBitSupp ДиМаджио притворился начинающим киберпреступником, желающим присоединиться к банде. С помощью подставных аккаунтов он общался с ближайшим окружением хакера, создавая персону, имеющую бэкграунд и связи в даркнете.

Месяцами он завоевывал доверие Хорошева и стал его другом, по пути выведывая детали проводимых кибератак. Они обсуждали, как вести переговоры с жертвами и как установить правильный размер выкупа.

Узнать реальное имя LockBitSupp помогла анонимная наводка — ДиМаджио получил адрес его Яндекс-почты.

«Это был мой первый опыт доксинга. [После того, как ФБР объявило] его имя, я опубликовал все остальное: место жительства, текущие и предыдущие номера телефонов», — рассказал специалист.

В качестве прощания ДиМаджио написал Хорошеву сообщение с объяснением, что он должен раскрыть его личность прежде, чем это сделают другие:

«LockBitSupp, ты умный парень. Ты сказал, что деньги больше не главное, и ты хочешь иметь миллион жертв, прежде чем остановишься, но иногда нужно знать, когда уйти. Настало то самое время, мой старый друг».

После этого Хорошев больше ему не писал.

Подробный рассказ со всей документацией доступен в блоге ДиМаджио:

Для просмотра ссылки Войди или Зарегистрируйся
 
Небольшое пояснение: статья ДиМаджио вышла ПОСЛЕ официального деанона Хорошева от ФБР.

Что мы имеем на данный момент:
1. Имя Хорошева, город Воронеж и старый ник "putinkrab" без ясного понимания, как они между собой связаны, но с идеей, что это LBS или кто-то близкий к нему..
2. За все это время - все, что смогли сделать ОСИНТеры, - нарыть личные фото Хорошева и прочую лабудень, которую любой школьник через ГБ и другие боты вытащит.
3. Не существует никакой прямой связи не только между Локбитом и Хорошевым или Локбитом и путинкрабом, но (!) и между Хорошевым и putinkrab.
4. Связь которая существует - между Хорошевым и nerowolf.
5. ДиМаджио НЕ сдеанонил Хорошева, Хорошева сдеанонили ФБР.
6. В выступлении с Дефкона нет абсолютно и нихуя нового, все это выступление по уже имевшейся статье на Аналист1 (Для просмотра ссылки Войди или Зарегистрируйся).

by: bratva
 

Вложения

  • DEF CON 32 - Jon DiMaggio - Behind Enemy Lines - Going undercover to breach the LockBit Ransom...pdf
    14.2 MB · Просмотры: 0
Войдите или зарегистрируйтесь для ответа.
Activity
So far there's no one here
Меню
Вход
Регистрация