Dmitry Khoroshev: De man achter LockBit ransomware ontmaskerd en aangepakt

🇳🇱 🇬🇧

tl;dr:

In een internationale actie hebben de FBI, de UK National Crime Agency en Europol sancties en aanklachten aangekondigd tegen Dmitry Yuryevich Khoroshev, de leider van de LockBit ransomware-operatie. Khoroshev, ook bekend als 'LockBitSupp' en 'putinkrab', wordt beschuldigd van het verdienen van 100 miljoen dollar via ransomware. De operatie 'Cronos' heeft de infrastructuur van LockBit zwaar getroffen, waarbij 34 servers werden neergehaald en decryptiesleutels werden verkregen. Deze stappen markeren een significante vooruitgang in de wereldwijde strijd tegen cybercriminaliteit.

Identificatie en aanklacht tegen Dmitry Yuryevich Khoroshev

De internationale aanpak van de LockBit ransomware beheerder heeft geleid tot belangrijke stappen in de strijd tegen cybercriminaliteit. In een gecoördineerde actie hebben de FBI, de UK National Crime Agency en Europol sancties en aanklachten aangekondigd tegen Dmitry Yuryevich Khoroshev, de Russische beheerder van de LockBit ransomware-operatie. Khoroshev, ook bekend onder de aliassen 'LockBitSupp' en 'putinkrab', is voor het eerst bij naam geïdentificeerd. Volgens de autoriteiten zou hij ongeveer 100 miljoen dollar hebben verdiend met zijn activiteiten binnen de criminele organisatie. De sancties omvatten onder andere bevriezing van activa en reisverboden, aangekondigd door verschillende internationale agentschappen, waaronder het Amerikaanse Office of Foreign Assets Control en het Australische Department of Foreign Affairs. Deze maatregelen zullen naar verwachting grote verstoringen veroorzaken binnen de operaties van LockBit, aangezien betalingen aan de groep nu potentieel sancties kunnen schenden.

LockBit begon in september 2019 en groeide al snel uit tot de grootste en meest actieve ransomware-operatie ter wereld. Tot februari 2024 had de groep maar liefst 194 affiliates. De recente operatie 'Cronos' heeft echter een significante impact gehad op de infrastructuur van LockBit, waarbij 34 servers werden neergehaald en extra decryptiesleutels werden verkregen, waardoor slachtoffers gratis geholpen konden worden bij het herstellen van hun bestanden. Deze internationale acties markeren mogelijk het begin van het einde voor LockBit, aangezien het vertrouwen binnen de groep afneemt en de leiding onder druk staat door juridische stappen en het verlies van operationele capaciteit.

Het netwerk van aliassen en online activiteiten van Khoroshev

De identificatie van Dmitry Yuryevich Khoroshev als leider van LockBit is een resultaat van grondig en uitgebreid onderzoek. Autoriteiten hebben verschillende van zijn alter ego's op cybercrimeforums gevolgd en zijn carrière als getalenteerde malwareauteur getraceerd, waarbij hij de afgelopen 14 jaar kwaadaardige code schreef en verkocht. De Amerikaanse autoriteiten hebben Khoroshev op 26 strafrechtelijke feiten aangeklaagd, waaronder afpersing, draadfraude en samenzwering. Ze beschuldigen hem ervan de LockBit ransomware strain te hebben gemaakt, verkocht en gebruikt om meer dan 100 miljoen dollar persoonlijk af te persen van honderden slachtofferorganisaties, en dat de groep als geheel in vier jaar tijd ongeveer een half miljard dollar heeft geëist.

Khoroshev zou de LockBit operatie hebben gerund als een "ransomware-as-a-service" bedrijf, waarbij hij 20 procent van elk losgeldbedrag hield dat door een slachtofferorganisatie werd betaald, terwijl de resterende 80 procent naar de LockBit affiliates ging die verantwoordelijk waren voor het verspreiden van de malware. Financiële sancties opgelegd door het Amerikaanse ministerie van Financiën vermelden zijn bekende e-mail- en huisadres (in Voronezh, Rusland), paspoortnummer en zelfs zijn belastingnummer. De schatkistdocumenten geven aan dat Khoroshev de e-mails sitedev5@yandex.ru en khoroshev1@icloud.com gebruikte. Volgens DomainTools.com werd het adres sitedev5@yandex.ru gebruikt om ten minste zes domeinen te registreren, waaronder een Russische onderneming geregistreerd op Khoroshevs naam genaamd tkaner.com, een blog over kleding en stoffen. Een zoekopdracht op de gegevens van Constella Intelligence over het telefoonnummer in Tkaner's registratiegegevens - 7.9521020220 - brengt meerdere officiële Russische overheidsdocumenten aan het licht die Khoroshev als eigenaar vermelden.

Financiële sancties en doorbraak in de aanpak van LockBit

Een ander domein dat met dat telefoonnummer werd geregistreerd was stairwell[.]ru, dat ooit de verkoop van houten trappen adverteerde. Volgens Constella Intelligence werden de e-mailadressen webmaster@stairwell.ru en admin@stairwell.ru gebruikt met het wachtwoord 225948. DomeinTools meldt dat stairwell.ru jarenlang de registrant vermeldde als "Dmitrij Ju Horoshev," en het e-mailadres pin@darktower.su. Volgens Constella werd dit e-mailadres in 2010 gebruikt om een account te registreren voor een Dmitry Yurievich Khoroshev uit Voronezh, Rusland, bij de hostingprovider firstvds.ru.

Het cyber inlichtingenbedrijf Intel 471 ontdekte dat pin@darktower.ru werd gebruikt door een Russisch sprekend lid genaamd Pin op het Engelstalige cybercrimeforum Opensc. Pin was rond maart 2012 actief op Opensc en schreef 13 berichten die voornamelijk over data-encryptieproblemen of het oplossen van bugs in code gingen. Andere berichten gingen over aangepaste code die Pin beweerde te hebben geschreven en die geheugenbescherming op Windows XP en Windows 7 systemen zou kunnen omzeilen en malware zou kunnen injecteren in geheugenspace die normaal is toegewezen aan vertrouwde applicaties op een Windows machine. Pin was ook in diezelfde tijd actief op het Russischtalige beveiligingsforum Antichat, waar hij mede-forumleden vertelde dat ze hem konden contacteren op het ICQ instant messenger nummer 669316.

Operatie 'Cronos' en de ontmanteling van LockBit's infrastructuur

Een zoekopdracht naar het ICQ nummer 669316 bij Intel 471 toont aan dat in april 2011 een gebruiker genaamd NeroWolfe zich aansloot bij het Russische cybercrimeforum Zloy met het e-mailadres d.horoshev@gmail.com, en vanaf een internetadres in Voronezh, Rusland. Constella vindt hetzelfde wachtwoord gekoppeld aan webmaster@stairwell.ru (225948) dat werd gebruikt door het e-mailadres 3k@xakep.ru, dat volgens Intel 471 werd geregistreerd voor meer dan een dozijn NeroWolfe accounts op evenveel Russische cybercrimefora tussen 2011 en 2015.

NeroWolfe's introductiepost op het forum Verified in oktober 2011 zei dat hij een systeembeheerder en C++ programmeur was. "Installeren van SpyEYE, ZeuS, alle DDoS en spam admin panels," schreef NeroWolfe. Deze gebruiker zei dat hij gespecialiseerd was in het ontwikkelen van malware, het creëren van computerwormen, en het bedenken van nieuwe manieren om webbrowsers te kapen. "Ik kan mijn portfolio op verzoek verstrekken," schreef NeroWolfe. "P.S. Ik wijzig geen code van iemand anders of werk met frameworks van iemand anders." In april 2013 schreef NeroWolfe in een privébericht aan een andere Verified forumgebruiker dat hij een malware "loader" programma verkocht dat alle beveiligingsbeschermingen op Windows XP en Windows 7 kon omzeilen. "De toegang tot het netwerk is enigszins beperkt," zei NeroWolfe over de loader, die hij voor $5.000 verkocht. "Het is niet mogelijk om een poort te binden. Het is echter heel goed mogelijk om data te verzenden. De code is geschreven in C." In een discussie in oktober 2013 op het cybercrimeforum Exploit woog NeroWolfe de karmische gevolgen van ransomware af. Destijds bestond ransomware-as-a-service nog niet, en veel leden van Exploit verdienden nog goed geld met "lockers", relatief eenvoudige programma's die de gebruiker uitsloten van hun systeem totdat ze akkoord gingen met het betalen van een kleine som geld (meestal een paar honderd dollar via prepaid Green Dot kaarten).

Lockers, die de komst van de ransomware plaag voorspelden, werden door de Russischtalige cybercrime fora over het algemeen als onschuldige geldmakerij gezien, omdat ze meestal niet probeerden de host computer te beschadigen of bestanden op het systeem in gevaar te brengen. Ook waren er nog veel lockerprogramma's die aspirant cybercriminelen konden kopen of huren om een gestage inkomstenstroom te genereren. NeroWolfe herinnerde de forumleden eraan dat ze net zo kwetsbaar waren voor ransomware aanvallen als hun potentiële slachtoffers, en dat wat je zaait, je ook zult oogsten. "Jongens, hebben jullie een geweten?," schreef NeroWolfe. "Oké, lockers, netwerk gopstop aka business in Russian. Het laatste werd altijd uit de sukkels geperst. Maar encoders, niemand is beschermd tegen hen, inclusief het lokale publiek."

Gevolgen en toekomstperspectieven voor de strijd tegen ransomware

Als Khoroshev ooit bang was dat iemand buiten Rusland zijn vroegere hackeridentiteiten aan zijn echte leven zou kunnen koppelen, dan blijkt dat niet uit zijn online geschiedenis. In feite werd hetzelfde e-mailadres dat aan zoveel van NeroWolfe's accounts op de forums was gekoppeld - 3k@xakep.ru - in 2011 gebruikt om een account aan te maken voor een Dmitry Yuryevich Khoroshev op het Russische sociale netwerk Vkontakte. NeroWolfe lijkt al zijn forumaccounts ergens in 2016 te hebben verlaten. In november 2016 diende een lid van exploit[.]ru een officiële klacht in tegen NeroWolfe, waarin werd gesteld dat NeroWolfe $2.000 was betaald om aangepaste code te produceren, maar het project nooit had afgerond en was verdwenen.

Het is onduidelijk wat er met NeroWolfe of Khoroshev is gebeurd tijdens deze periode. Misschien werd hij gearresteerd, of enkele van zijn naaste medewerkers wel. Misschien besloot hij gewoon dat het tijd was om onder de radar te blijven en zijn operationele beveiligingsinspanningen te resetten, gezien zijn eerdere mislukkingen op dit gebied. Het is ook mogelijk dat NeroWolfe een echte baan kreeg ergens voor een paar jaar, een kind kreeg, en/of zijn cybercrime carrière op pauze moest zetten.

Of misschien zag Khoroshev de opkomende ransomware-industrie als de eindeloze pot met goud die het zou worden, en wijdde hij zich aan het werken aan op maat gemaakte ransomware code. Dat is wat de overheid gelooft. De aanklacht tegen Khoroshev zegt dat hij de hacker bijnaam Putinkrab gebruikte, en Intel 471 zegt dat dit overeenkomt met een gebruikersnaam die voor het eerst werd geregistreerd op drie grote Russische cybercrime forums begin 2019. Onderzoekers kon geen voor de hand liggende connecties vinden tussen Putinkrab en een van Khoroshev's oudere identiteiten. Echter, als Putinkrab Khoroshev was, zou hij hebben geleerd van zijn eerdere fouten en opnieuw zijn begonnen met een nieuwe identiteit (wat hij deed). Maar het is ook waarschijnlijk dat de overheid niet alle inlichtingen die zij tegen hem heeft verzameld, heeft gedeeld.

Putinkrab's eerste berichten op de Russische cybercrime forums XSS, Exploit en UFOLabs zagen deze gebruiker ransomware broncode geschreven in C verkopen. In april 2019 bood Putinkrab een affiliate programma aan dat bovenop zijn op maat gemaakte ransomware code zou draaien. "Ik wil werken voor een deel van de losgelden: 20/80," schreef Putinkrab op Exploit. "20 procent is mijn percentage voor het werk, je krijgt 80% van de losgelden. Het percentage kan worden verlaagd tot 10/90 als de volumes goed zijn. Maar nu, tijdelijk, totdat de dienst volledig is geautomatiseerd, werken we met een ander algoritme."

Internationale samenwerking en de weg naar gerechtigheid

Gedurende de zomer van 2019 postte Putinkrab meerdere updates op Exploit over nieuwe functies die aan zijn ransomware strain werden toegevoegd, evenals nieuwe ontwijktechnieken om detectie door beveiligingstools te vermijden. Hij vertelde ook aan forumleden dat hij op zoek was naar investeerders voor een nieuw ransomware project gebaseerd op zijn code. In reactie op een Exploit lid dat klaagde dat de beveiligingsindustrie het moeilijker maakte om winst te maken van ransomware, zei Putinkrab dat dit kwam doordat zoveel cybercriminelen vertrouwden op crappy ransomware code. "De overgrote meerderheid van top antivirusprogramma's hebben gedragsanalyse verworven, die 95% van de crypto-lockers bij hun wortel blokkeert," schreef Putinkrab. "Cryptolockers maakten veel lawaai in de pers, maar luie systeembeheerders maken daarna geen back-ups. De overgrote meerderheid van de cryptolockers is geschreven door mensen die weinig begrip hebben van cryptografie. Daarom verschijnen decryptors op het internet, en met hen de hoop dat bestanden kunnen worden gedecrypt zonder het betalen van losgeld. Ze wachten gewoon af. Het contact met de eigenaar van de sleutel gaat verloren na verloop van tijd."

Putinkrab zei dat hij alle vertrouwen had dat zijn ransomware code een game-changer was, en een enorme geldmachine. "Het spel begint net momentum te krijgen," schreef Putinkrab. "Zwakke spelers verliezen en worden geëlimineerd." De rest van zijn reactie was gestructureerd als een gedicht: "In deze wereld overleven de sterksten. Ons leven is slechts een strijd. De winnaar zal de slimste zijn, Die zijn hoofd op zijn schouders heeft." Putinkrab's laatste bericht kwam op 23 augustus 2019. Het Amerikaanse ministerie van Justitie zegt dat het LockBit ransomware affiliate programma officieel vijf maanden later werd gelanceerd. Vanaf dat moment, volgens de overheid, nam Khoroshev de persona van LockBitSupp aan. In zijn introductiepost op Exploit zei de meesterbrein achter LockBit dat de ransomware strain sinds september 2019 in ontwikkeling was.

De oorspronkelijke LockBit malware was geschreven in C (een taal waarin NeroWolfe uitblonk). Hier is de oorspronkelijke beschrijving van LockBit, van zijn maker: "De software is geschreven in C en Assembler; encryptie wordt uitgevoerd via de I/O Completion Port; er is een port scanning van lokale netwerken en een optie om alle DFS, SMB, WebDAV netwerkaandelen te vinden, een admin paneel in Tor, automatische test decryptie; een decryptie tool wordt verstrekt; er is een chat met push notificaties, een Jabber bot die correspondentie doorstuurt en een optie om services/processen te beëindigen die het ransomware verhinderen om bestanden op een bepaald moment te openen. De ransomware stelt bestandsrechten in en verwijdert blokkerende attributen, verwijdert schaduwkopieën, wist logs en monteert verborgen partities; er is een optie om bestanden/mappen te slepen en neer te zetten en een console/verborgen modus. De ransomware versleutelt bestanden in delen op verschillende plaatsen: hoe groter de bestandsgrootte, hoe meer delen er zijn. De gebruikte algoritmes zijn AES + RSA. Jij bepaalt het losgeldbedrag na communicatie met het slachtoffer. Het losgeld dat in elke valuta wordt betaald die je uitkomt, zal naar je portefeuilles worden overgemaakt. De Jabber bot dient als admin paneel en wordt gebruikt voor verbannen, het verstrekken van decryptie tools, chatten - Jabber wordt voor alles gebruikt."

Conclusie

Concluderend, hoewel de bovenstaande tijdlijn niet onomstotelijk bewijst dat NeroWolfe/Khoroshev LockBitSupp is, geeft het wel aan dat Khoroshev gedurende vele jaren diep betrokken was bij talloze schema's met botnets, gestolen gegevens en malware die hij schreef en door anderen werd gebruikt. NeroWolfe's vele privéberichten van mede-forumleden bevestigen dit. NeroWolfe's specialiteit was het creëren van aangepaste code die gebruik maakte van nieuwe stealth en ontwijktechnieken, en hij bood altijd snel zijn diensten aan op de forums wanneer iemand hulp zocht bij een malwareproject dat een sterke C of C++ programmeur vereiste. Iemand met die kwalificaties - evenals aangetoonde meesterschap van data-encryptie en decryptie technieken - zou zeer gewild zijn door de ransomware-as-a-service industrie die rond dezelfde tijd opkwam dat NeroWolfe van de forums verdween. Iemand als dat, die bovenaan of bijna bovenaan zijn spel staat ten opzichte van zijn leeftijdsgenoten, loopt niet zomaar weg van dat niveau van invloed, gemeenschapsstatus, en potentiële inkomstenstroom, tenzij gedwongen door omstandigheden buiten zijn directe controle. Het is belangrijk op te merken dat Putinkrab niet zomaar uit het niets verscheen in 2019 - plotseling begiftigd met kennis over hoe geavanceerde, stealthy ransomware strains te schrijven. Die kennis kwam duidelijk van iemand die al jaren ervaring had met het ontwikkelen en inzetten van ransomware strains tegen echte slachtofferorganisaties. Dus, wie Putinkrab ook was voordat hij dat pseudoniem aannam, het is een veilige gok dat hij betrokken was bij de ontwikkeling en het gebruik van eerdere, zeer succesvolle ransomware strains. Een sterke mogelijke kandidaat is Cerber ransomware, het populairste en effectiefste affiliate programma dat opereerde tussen begin 2016 en midden 2017. Cerber bloeide omdat het een vroege speler was op de markt voor ransomware-as-a-service aanbiedingen.

In februari 2024 nam de FBI LockBit's cybercrime infrastructuur op het darkweb in beslag, na een blijkbaar langdurige infiltratie van de operaties van de groep. De Verenigde Staten hebben al minstens vijf andere vermeende LockBit kopstukken of affiliates aangeklaagd en gesanctioneerd, dus vermoedelijk hebben de federale autoriteiten extra middelen kunnen putten uit die onderzoeken. Bovendien lijkt het waarschijnlijk dat de drie nationale inlichtingendiensten die betrokken zijn bij deze aanklachten niet al hun kaarten laten zien. Bijvoorbeeld, de schatkistdocumenten over Khoroshev vermelden een enkel cryptocurrency adres, en toch zeggen experts geïnterviewd voor dit verhaal dat er geen duidelijke aanwijzingen zijn die dit adres verbinden met Khoroshev of Putinkrab. Maar aangezien LockBitSupp al vier jaar actief betrokken is bij LockBit ransomware aanvallen tegen organisaties, heeft de overheid vrijwel zeker een uitgebreide lijst van de verschillende cryptocurrency adressen van de LockBit leider - en waarschijnlijk zelfs zijn bankrekeningen in Rusland. En ongetwijfeld was het geldspoor van sommige van die transacties traceerbaar tot aan de uiteindelijke begunstigde (of dichtbij genoeg). Kort nadat Khoroshev werd aangeklaagd als de leider van LockBit, begonnen een aantal open-source inlichtingenaccounts op Telegram de informatie die door het ministerie van Financiën was vrijgegeven uit te breiden. Binnen enkele uren hadden deze speurders meer dan een dozijn creditcardaccounts opgegraven die Khoroshev de afgelopen tien jaar had gebruikt, evenals zijn verschillende bankrekeningnummers in Rusland. Het punt is dat dit bericht is gebaseerd op gegevens die beschikbaar zijn voor en verifieerbaar door onderzoekers. Deep Throat, de bron van Woodward & Bernstein in het Watergate-onderzoek, zei beroemd tegen de twee verslaggevers: "volg het geld." Dit is altijd uitstekend advies. Maar tegenwoordig kan dat een stuk gemakkelijker gezegd dan gedaan zijn - vooral met mensen die a) niet gevonden willen worden, en b) niet precies jaarlijkse rapporten indienen.

bronnen: opsporingsdiensten, anonieme onderzoekers en ethische hackers

Begrippenlijst: Sleutelwoorden uitgelegd

• Ransomware: Schadelijke software die bestanden van een slachtoffer versleutelt en losgeld eist om de gegevens weer toegankelijk te maken.

• Sancties: Strafmaatregelen die door landen of internationale organisaties worden opgelegd om specifieke gedragingen of activiteiten te ontmoedigen. Dit kan bijvoorbeeld het bevriezen van tegoeden of reisverboden inhouden.

• Affiliates: Personen of groepen die samenwerken met een grotere organisatie om taken uit te voeren. In het geval van ransomware verwijst dit vaak naar degenen die de malware verspreiden in ruil voor een deel van het losgeld.

• Decryptiesleutels: Codes of sleutels die worden gebruikt om versleutelde gegevens weer leesbaar te maken.

• Ransomware-as-a-Service (RaaS): Een model waarbij criminelen ransomware aanbieden aan anderen, die vervolgens de malware verspreiden en een deel van het losgeld betalen aan de oorspronkelijke ontwikkelaars.

• Cybercrime forums: Online platforms waar cybercriminelen informatie, tools en technieken uitwisselen en samenwerkingen aangaan.

• Operatie 'Cronos': Een specifieke gecoördineerde actie door wetshandhavingsinstanties gericht op het ontmantelen van de infrastructuur van de LockBit ransomware.

• DomainTools: Een bedrijf dat tools en diensten aanbiedt voor domeinregistratie en het opsporen van cyberbedreigingen.

• Constella Intelligence: Een bedrijf dat inlichtingen verzamelt en analyseert om dreigingen op te sporen en te mitigeren.

• ICQ instant messenger: Een vroege vorm van online chatsoftware die populair was in de jaren '90 en 2000.

• Dark web: Het deel van het internet dat niet wordt geïndexeerd door traditionele zoekmachines en alleen toegankelijk is via speciale software. Het wordt vaak geassocieerd met illegale activiteiten.

• Cryptolockers: Een type ransomware dat bestanden op een computer vergrendelt en losgeld eist voor de ontgrendeling.

• Botnets: Netwerken van geïnfecteerde computers die op afstand worden bestuurd door cybercriminelen, vaak zonder medeweten van de eigenaren.

• Deep Throat: Een beroemde informant in het Watergate-schandaal die verslaggevers adviseerde om het geldspoor te volgen om de waarheid te achterhalen.

• Vkontakte: Een populair Russisch sociaal netwerk, vergelijkbaar met Facebook.

• Exploit: Een cybercrime forum en ook een technische term die verwijst naar het misbruiken van een kwetsbaarheid in software.