Auteur Sujet: Le groupe ransomware Lockbit en grande partie démantelé (Lu 832 fois)

alain_p · « **le:** 21 février 2024 à 08:02:18 »

On a appris hier que l'infamous groupe de ransomware lockbit, bien connu pour ses nombreuses attaques en particulier d'hôpitaux, avait été en grande partie démantelé par une coopération internationale d'une dizaine de pays, appelée opération cronos, menée semble-t-il par la NCA anglaise (National Crime Agency).
Une vingtaine de sites command and control du gang ont été infiltrés et mis hors d'état de nuire et deux membres du groupe arrêtés.

Des outils de déchiffrement ont semble-t-il aussi été mis des sites victimes d'attaques pour déchiffrer leurs données.

Il y a gros à parier que d'autres malheureusement prendront la relève. Mais c'est quand même un beau succès de coopération internationale contre les groupes de ransomwares.

Voir par exemple FranceInfo :

Citer

Cyberattaques : ce que l'on sait du coup de filet international contre LockBit, l'un des groupes de hackers les plus dangereux du monde

Article rédigé par Luc Chagnon - France Télévisions - Publié le 20/02/2024 13:27 Mis à jour le 20/02/2024 13:41

Le groupe de pirates informatiques, spécialisé dans le vol de données avec demandes de rançon, a été visé par une opération conjointe de dix pays, dont la France. Deux membres ont été interpellés et de nombreuses données ont été saisies.

Un coup dur pour l'un des gangs de hackers les plus dangereux de la planète. Le groupe LockBit, responsable de plusieurs centaines de piratages de grande ampleur en France et dans le monde, a été la cible d'une opération de police internationale qui a conduit à la saisie de plusieurs sites du groupe sur le dark web, lundi 19 février.

Cette opération, menée conjointement par les enquêteurs de plusieurs pays dont la France, a également permis l'arrestation de deux de ses membres et l'obtention de nombreuses données. Voici ce que l'on sait de cette offensive.

Le groupe de pirates le plus actif au monde

LockBit est un groupe de pirates informatiques russophone, qui a conçu plusieurs générations de rançongiciels (ou "ransomware") du même nom. Ces logiciels malveillants permettent de chiffrer les données présentes sur les appareils d'un réseau, ce qui les rend illisibles à moins de disposer d'un code spécifique – que LockBit ne prétend fournir qu'en échange d'une rançon. Si la victime ne paye pas, les pirates menacent de publier ou de revendre les données.

En novembre 2022, les Etats-Unis avaient affirmé que le rançongiciel LockBit était le "plus actif et plus destructeur des variants dans le monde". Rien qu'aux Etats-Unis, le groupe a mené plus de 1 700 attaques depuis 2020 pour près de 91 millions de dollars de rançons au total, selon une agence américaine. Contrairement à d'autres groupes, LockBit est devenu une véritable entreprise, qui vend ses services à d'autres pirates en échange d'un pourcentage.

En France, LockBit a été impliqué dans plus de 200 attaques selon le parquet de Paris, par exemple contre l'hôpital de Corbeil-Essonnes (Essonne) en octobre 2022 pour réclamer un million de dollars de rançon, contre La Poste Mobile en juillet de la même année ou encore contre le groupe Voyageurs du monde en juin 2023. L'un de ses rançongiciels, utilisé par d'autres groupes malveillants, a pu être utilisé dans l'attaque informatique subie par l'hôpital d'Armentières (Nord) le 10 février, comme l'explique sur X Valéry Rieß-Marchive, rédacteur en chef du site spécialisé LeMagIT.

Une action conjointe de dix pays

Une vingtaine de sites connus du groupe sur le dark web ont été mis hors ligne ou réquisitionnés dans la nuit du lundi 19 au mardi 20 février, selon le compte spécialisé en cybersécurité vx-underground sur X. L'équipe de LockBit a confirmé la saisie de ces sites par le FBI, selon le site spécialisé Zataz.

Ces pages ont toutes été remplacées par le même message en anglais, annonçant que "ce site est maintenant sous contrôle de la police". Cette saisie a été permise grâce à l'action conjointe de 10 pays membres de l'"opération Cronos", dont les Etats-Unis, le Royaume-Uni ou la France, l'Allemagne ou le Japon.

Dans un communiqué publié mardi à midi, Europol explique avoir "perturbé les opérations criminelles de LockBit à tous les niveaux, endommageant sévèrement leur capacité et crédibilité". L'organisation de police internationale décrit une "opération longue de plusieurs mois", qui a permis la mise hors service de 34 serveurs dans plusieurs pays.

Les autorités britanniques précisent dans un communiqué avoir obtenu le code source de la plateforme LockBit, ainsi que de nombreux renseignements sur les capacités du groupe. Elles ont également pris le contrôle de l'environnement permettant aux affiliés de LockBit de perpétrer leurs attaques, ainsi que du "mur de la honte" sur lequel les pirates publient les noms de leurs victimes, entre autres.

Deux "acteurs" du groupe ont été arrêtés "à la demande des autorités judiciaires françaises", selon Europol, qui précise que deux mandats d'arrêt internationaux et cinq mises en examen ont également été prononcées par les autorités françaises et américaines. Plus de 200 portefeuilles de cryptomonnaies liés à LockBit ont également été gelés, selon Europol.

Pour aider les victimes de LockBit, les autorités des pays impliqués dans l'opération ont également mis à disposition des outils de déchiffrage pour récupérer les donnés corrompues par les attaques. Ils sont disponibles gratuitement sur le portail No More Ransom.

Des pirates durement touchés, mais pas encore coulés

La saisie des sites de LockBit porte un coup extrêmement sévère aux opérations du groupe. Ces pages lui servaient à afficher les noms des victimes, à réclamer les rançons mais aussi à publier les données volées. Les données obtenues par les autorités pour déchiffrer celles qui ont été corrompues réduisent également les conséquences des attaques déjà commises et de celles à venir.

Sur l'un de ses canaux de communication, LockBit affirme cependant détenir des serveurs de rechange qui n'ont pas été touchés par l'opération, selon vx-underground sur X. Mais le supplice n'est pas fini pour le groupe : les autorités ont détourné le "mur de la honte" de LockBit pour annoncer que des informations supplémentaires seraient dévoilées tout au long de la semaine.

https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-ce-que-l-on-sait-de-l-operation-internationale-contre-le-groupe-lockbit-l-un-des-gangs-de-hackers-les-plus-dangereux-du-monde_6377464.html
https://twitter.com/Cyber_Veille/status/1759905287111123269

rooot · « **Réponse #1 le:** 01 mars 2024 à 16:35:47 »

tiens je viens de voir que LDLC se serait fait hacké sa base de données aussi...https://www.tomsguide.fr/ldlc-pirate-les-donnees-de-15-million-de-clients-seraient-en-vente-sur-le-dark-web/

titides · « **Réponse #2 le:** 01 mars 2024 à 17:11:05 »

Imagine si certains profitent d'être sur une plage des Bahamas en lisant l'article

trekker92 · « **Réponse #3 le:** 01 mars 2024 à 17:18:28 »

Citation de: titides le 01 mars 2024 à 17:11:05

Imagine si certains profitent d'être sur une plage des Bahamas en lisant l'article

dépend de qui fréquente la plage

Citer

Le clap de fin pour cette organisation cybercriminelle aux allures d’hydre ? « Les têtes pensantes sont encore dans la nature dont un dirigeant qui est totalement hors d’atteinte pour les polices du monde entier », soupire une source proche de l’enquête.
https://www.leparisien.fr/high-tech/operation-cronos-le-coup-de-maitre-des-cybergendarmes-pour-mettre-hors-ligne-les-hackers-de-lockbit-3-20-02-2024-DLWEQZBEMVAZNCMFVHXHOKWASM.php

titides · « **Réponse #4 le:** 01 mars 2024 à 17:28:22 »

Il manque plus que des armes de destruction massive, et c'est bon pour les américains

alain_p · « **Réponse #5 le:** 01 mars 2024 à 17:40:59 »

Bon après, il ne s'agit pas d'un ransomware, ni du groupe lockbit. Dans ce cas, il s'agit du groupe Epsilon :

Citer

Le groupe de pirates Epsilon Group a d’ores et déjà revendiqué l’attaque

trekker92 · « **Réponse #6 le:** 01 mars 2024 à 18:03:49 »

Citation de: alain_p le 21 février 2024 à 08:02:18

https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-ce-que-l-on-sait-de-l-operation-internationale-contre-le-groupe-lockbit-l-un-des-gangs-de-hackers-les-plus-dangereux-du-monde_6377464.html
https://twitter.com/Cyber_Veille/status/1759905287111123269

n'empeche que dans ces "opérations" il y a toujours un certain nombre de polices européennes, en plus des américaines

je m'interroge sur la présence des petits pays, souvent "du sud", voire meme des paradis fiscaux, de l'implication de leur police locale pour geler des comptes ou débrancher des serveurs...

ca avait fini comment l'affaire dotcom, déjà?

alain_p · « **Réponse #7 le:** 08 mai 2024 à 22:43:35 »

Le nom du leader du groupe Lockbot révélé : Dmitry Yuryevich Khoroshev

Le nom du leader du groupe locklbit, qui se faisait appeler LocbiBitSupp, a donc été révélé par la NCA, la National Crime Agency. Des sanctions contre lui ont été rendues publiques par différents Etats, dont la Grande Bretagne, les Etats-Unis, l'Australie... C'est une suite de l'opération Cronos qui avait permis de démanteler une partie des infrastructures du gang. Il aurait reçu en particulier au moins deux fois des montants de 100 millions de dollars comme paiement de ses activités mafieuses, en Juin 2022 et Décembre 2023. Il avait, parait-il, du mal à blanchir les sommes reçues (en bitcoin on imagine).

Il a tout du coupable idéal, car c'est un citoyen russe, vivant à 500 km à l'Est de Moscou, parait-il dans un appartement ordinaire. Une récompense de 10 millions de dollars a été promise pour sa capture.

Voir par exemple 01.Net :

Ransomware : le leader de Lockbit a été démasqué

8 mai 2024 à 11:28 - Florian Bayard

Le cerveau de Lockbit a été démasqué. Les autorités britanniques viennent en effet de révéler l’identité du cybercriminel à la tête du plus important gang de ransomware au monde.

Plus de deux mois après l’opération Cronos, qui a mis à terre une partie de l’infrastructure du gang, les autorités britanniques ont révélé le visage du leader de Lockbit. Dans un communiqué publié ce mardi 7 mai 2024, la National Crime Agency, l’agence nationale de lutte contre la criminalité du Royaume-Uni, a en effet dévoilé une série d’informations sur LockBitSupp, le grand chef des cybercriminels.

Qui est le chef de Lockbit ?

Derrière le pseudonyme de LockBitSupp se cache Dmitry Yuryevich Khoroshev. D’après la NCA, « l’administrateur et développeur du groupe » est un ressortissant russe âgé de 31 ans. L’homme réside dans « un appartement ordinaire » à « 500km au sud de Moscou », rapporte l’expert en cybersécurité Mr SaxX sur son compte X. Le chercheur, très actif sur le réseau social, indique avoir « essayé de rassembler les nombreuses informations qui viennent de partout de la communauté ». Grâce aux opérations menées par Lockbit, le cybercriminel aurait gagné 100 millions de dollars. En dépit de sa fortune, le pirate aurait un train de vie relativement modeste, poursuit Mr SaxX. En fait, Khoroshev aurait beaucoup de mal à blanchir l’argent récolté. De son côté, l’expert Baptise Robert a réalisé une vaste enquête sur les informations disponibles en ligne sur le hacker. Il a notamment déniché sa ville de résidence et son numéro de téléphone.

https://twitter.com/_SaxX_/status/1788101379283644881

Résidant en Russie, le pirate est à l’abri des autorités internationales. La Russie refuse en effet de coopérer avec les polices étrangères et d’extrader un de ses ressortissants. Les forces de l’ordre ont néanmoins annoncé une batterie de sanctions à l’encontre du cybercriminel, qui a jusqu’ici « prospéré dans l’anonymat ».

Les autorités ont en effet gelé une partie des avoirs de Dmitry Yuryevich Khoroshev. Celui-ci est désormais interdit de voyager aux États-Unis, au Royaume-Uni et en Australie. Tous les actifs de Khoroshev dans ces pays ont été saisis. Ces sanctions interdisent à une entreprise américaine, britannique ou australienne de verser une rançon à Lockbit. En cas d’infraction, l’entreprise risque une amende de la part de son gouvernement. La sanction devrait donc dissuader les futures victimes potentielles de Lockbit de coopérer.

Par ailleurs, les États-Unis offrent 10 millions de dollars à toute personne qui donnera des informations menant à la capture du cybercriminel. Ironie du sort, LockBitSupp s’est longtemps vanté de son anonymat. Le pirate offrait d’ailleurs « 10 millions de dollars à quiconque pourrait révéler son identité ».

« Ces sanctions sont extrêmement importantes et montrent qu’il n’y a pas de cachette pour les cybercriminels comme Dmitry Khoroshev, qui font des ravages à travers le monde. Il était certain de pouvoir rester anonyme, mais il avait tort », déclare Graeme Biggar, le directeur général de la NCA.

Lockbit, un gang affaibli ?

En dépit des dégâts causés par l’opération Cronos, les pirates de Lockbit ont orchestré une foule de cyberattaques au cours des dernières semaines. Armés de leur ransomware, les hackers se sont notamment attaqués à l’hôpital de Cannes. L’établissement a refusé de payer la rançon exigée par les pirates. En guise de représailles, ceux-ci ont divulgué 61 gigaoctets de données confidentielles, dont des dossiers médicaux, sur le dark web.

C’est en réaction à cette résurgence des attaques que les forces de police britanniques ont décidé d’accentuer la pression sur Lockbit en dévoilant l’identité de son leader. D’après la NCA, le gang reste néanmoins considérablement affaibli par les dégâts causés par l’opération Cronos. Malgré des tentatives de reconstruction, Lockbit fonctionne « actuellement à une capacité limitée », avance la NCA.

L’agence assure que « le nombre moyen d’attaques mensuelles » orchestrées par Lockbit a baissé de 73 % au Royaume-Uni depuis l’offensive, n’en déplaise au gang. Dans son communiqué, l’agence britannique accuse Lockbit d’avoir voulu diminuer l’impact de l’opération Cronos en recensant « des victimes ciblées avant que la NCA ne prenne le contrôle de ses services ». Sur son site sur le dark web, le gang a en effet répertorié plusieurs attaques qui datent d’avant l’opération de police pour donner le change.

« L’annonce d’aujourd’hui plante un autre gros clou dans le cercueil de Lockbit et notre enquête se poursuit. Nous ciblons désormais les entités affiliées qui ont utilisé les services Lockbit pour infliger des attaques de ransomware dévastatrices contre des écoles, des hôpitaux et de grandes entreprises du monde entier », détaille la NCA, soucieuse de mettre la pression sur les pirates qui se servent du malware pour extorquer des fonds.

Après avoir démasqué la tête pensante de Lockbit, les enquêteurs vont désormais se concentrer sur les affiliés du gang. Ces pirates paient un abonnement pour pouvoir utiliser le virus Lockbit 3.0 dans leurs cyberattaques. Échaudés par les assauts des forces de police, les cybercriminels vont-ils se distancier de Lockbit ?

https://www.01net.com/actualites/ransomware-leader-lockbit-demasque.html
https://www.nationalcrimeagency.gov.uk/news/lockbit-leader-unmasked-and-sanctioned

Le communiqué de la NCA révèle 6 autres noms :

With the latest indictment, a total of six members affiliated with the LockBit conspiracy have been charged, including Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov and Ivan Gennadievich Kondratiev.

xp25 · « **Réponse #8 le:** 08 mai 2024 à 22:58:55 »

Dans le temps, la société recrutait ces gens souvent dans des situations modestes (d'où l'appât du gain) et leur offrait un avenir radieux au service de la communauté du bien.

Le monde change et pas forcément dans le bon sens !

alain_p · « **Réponse #9 le:** 09 mai 2024 à 09:28:50 »

Ce leader du groupe Lockbit habiterait en fait à Voronej, dans le sud est de la Russie, à 200 km de la frontière ukrainienne.

D'après un expert en sécurité toulousain, interrogé par La Dépêche du Midi :

"Il a volé plus de 100 millions de dollars…" Comment le hacker russe le plus recherché au monde a été débusqué par le Toulousain Baptiste Robert

Publié le 09/05/2024 à 07:00 , mis à jour à 07:20 - Matis Gardent Bianco-Levrin

Adresses, activités ou encore plaques d’immatriculation… Baptiste Robert, l’expert en cybersécurité toulousain, a dévoilé de précieuses informations sur l’un des hackers les plus recherchés au monde. Voici comment il a procédé.

Baptiste Robert trouverait une aiguille dans une botte de foin. Le hacker éthique a traqué l’ennemi public numéro un : Dmitry Khoroshev. Ce cybercriminel russe est à la tête du gang LockBit qui sévit depuis plusieurs mois un peu partout dans le monde.

L’homme sous le pseudonyme "LockBitSupp" s’est attaqué à différentes infrastructures de renom comme l’hôpital de Cannes ou la société aérospatiale américaine Boeing. D’après le ministère américain de la justice, Dmitry Khoroshev aurait "ciblé plus de 2 000 victimes et volé plus de 100 millions de dollars".

Baptiste Robert trouverait une aiguille dans une botte de foin. Le hacker éthique a traqué l’ennemi public numéro un : Dmitry Khoroshev. Ce cybercriminel russe est à la tête du gang LockBit qui sévit depuis plusieurs mois un peu partout dans le monde.

L’homme sous le pseudonyme "LockBitSupp" s’est attaqué à différentes infrastructures de renom comme l’hôpital de Cannes ou la société aérospatiale américaine Boeing. D’après le ministère américain de la justice, Dmitry Khoroshev aurait "ciblé plus de 2 000 victimes et volé plus de 100 millions de dollars".

L’identité et notamment le nom et prénom de Dmitry Khoroshev n’ont été dévoilés qu’il y a quelques jours par le FBI et Interpol. Mais seulement une demi-heure après le communiqué des autorités, Baptiste Robert avait déjà mené son enquête pour trouver de précieuses informations sur le pirate russe.

Une adresse et une potentielle passion pour le jardinage ?

L’expert toulousain en cybersécurité s’est initialement penché sur les adresses e-mails du russe. Avec l’aide d’une technologie de traçage, qu’il a notamment développée avec son entreprise PredictaLab ; il s’est avéré que les courriels du pirate étaient reliés à un numéro de téléphone ainsi qu’un compte YandexFood. En Russie, cette plateforme de livraison de repas est comparable à Uber Eats ou Deliveroo dans l’hexagone. Baptiste Robert a ensuite découvert que le célèbre hacker russe qui extorque des millions d’euros ne se dissimule pas sur les réseaux sociaux.

Sur son compte Vkontakte, l’équivalent du Facebook mais en Russie, le pirate Dmitri Khoroshev se trahit facilement. En quelques clics, Baptiste Robert a découvert plusieurs informations : « Sa liste d’amis est ouverte. Il serait judicieux d’approfondir les recherches de ce côté. Sur son profil, on voit même une potentielle ville où il habite », explique le Toulousain. D’après les premières recherches, Dmitri Khoroshev habitait dans la ville de Voronej, dans le sud de la Russie.

Une récompense de plus de 10 millions de dollars

En plus des adresses e-mails ou des numéros de téléphone retrouvés, Baptiste Robert va même découvrir un pseudonyme que le cybercriminel utilise pour toutes sortes d’activités comme la recherche d’un SUV et peut-être même une passion potentielle pour le jardinage. « S’il vous plaît, dites-moi que le chef de l’une des plus grandes organisations cybercriminelles n’est pas un passionné de jardinage. J’ai encore des rêves moi », plaisante l’expert toulousain sur ses réseaux sociaux.

https://www.ladepeche.fr/2024/05/09/il-a-vole-plus-de-100-millions-de-dollars-comment-le-hacker-le-plus-recherche-au-monde-a-ete-debusque-par-le-toulousain-baptiste-robert-11938458.php

trekker92 · « **Réponse #10 le:** 09 mai 2024 à 22:56:37 »

Citation de: alain_p le 09 mai 2024 à 09:28:50

Ce leader du groupe Lockbit habiterait en fait à Voronej, dans le sud est de la Russie, à 200 km de la frontière ukrainienne.
[..]
https://www.ladepeche.fr/2024/05/09/il-a-vole-plus-de-100-millions-de-dollars-comment-le-hacker-le-plus-recherche-au-monde-a-ete-debusque-par-le-toulousain-baptiste-robert-11938458.php

en grande partie démantelé est pour moi du putaclicage HdG digne d'un 01net ou autres presse-citron/numerama :
1. de meilleures sources : les anglophones, officiels (l'alliance des FdO), et civils : the guardian, reuters ; quand on fait dans la cyber, comme dans la finance, ou dans l'ingénierie, à un moment le plus gros des ressouces n'est pas francophone, sauf pour l'expliquer à mamie le soir du 25, qu'elle comprenne un peu le sujet

2. lockbit ne sera pas démantelé, vu qu'une partie l'est déjà, mais surtout que les orgaisateurs, loin d'être cons, comme tout criminel, ont pris des précautions pour sauver leurs outils ; ensuite, il vont être formés à nouveau pour 2 raisons : 1. le groupe est hors de portée des polices du monde, car basé en russie, 2. le groupe ne s'attaque jamais à la diaspora russe ni à ses ex partenaires d'urss.
3. le générateur de LB3 a bien été diffusé sur github, et les polices ont déclaré qu'il n'y a jamais vraiment eu de baisse observée sur les infections liées à LB (il existe des dizaines d'autres groupes des rançonwares!) depuis le semi-démantellement, et le fait qu'une fuite ait été réalisée ne va qu'accélérer les nouvelles contagions.

ce truc est pour les ordis, pire que le covid pour l'h, qui n'a eu d'autre choix que l'adopter pour survivre.

mais merci pour la piqure de rappel, c'est toujours bon à savoir pour ceux qui ne suivent pas attentivement leur rss

trekker92 · « **Réponse #11 le:** **Hier** à 15:32:10 »

Citer

How Did Authorities Identify the Alleged Lockbit Boss?
May 13, 2024
7 Comments

Last week, the United States joined the U.K. and Australia in sanctioning and charging a Russian man named Dmitry Yuryevich Khoroshev as the leader of the infamous LockBit ransomware group. LockBit’s leader “LockBitSupp” claims the feds named the wrong guy, saying the charges don’t explain how they connected him to Khoroshev. This post examines the activities of Khoroshev’s many alter egos on the cybercrime forums, and tracks the career of a gifted malware author who has written and sold malicious code for the past 14 years.

Dmitry Yuryevich Khoroshev. Image: treasury.gov.

On May 7, the U.S. Department of Justice indicted Khoroshev on 26 criminal counts, including extortion, wire fraud, and conspiracy. The government alleges Khoroshev created, sold and used the LockBit ransomware strain to personally extort more than $100 million from hundreds of victim organizations, and that LockBit as a group extorted roughly half a billion dollars over four years.

Federal investigators say Khoroshev ran LockBit as a “ransomware-as-a-service” operation, wherein he kept 20 percent of any ransom amount paid by a victim organization infected with his code, with the remaining 80 percent of the payment going to LockBit affiliates responsible for spreading the malware.

Financial sanctions levied against Khoroshev by the U.S. Department of the Treasury listed his known email and street address (in Voronezh, in southwest Russia), passport number, and even his tax ID number (hello, Russian tax authorities). The Treasury filing says Khoroshev used the emails sitedev5@yandex.ru, and khoroshev1@icloud.com.

According to DomainTools.com, the address sitedev5@yandex.ru was used to register at least six domains, including a Russian business registered in Khoroshev’s name called tkaner.com, which is a blog about clothing and fabrics.

A search at the breach-tracking service Constella Intelligence on the phone number in Tkaner’s registration records — 7.9521020220 — brings up multiple official Russian government documents listing the number’s owner as Dmitri Yurievich Khoroshev.

Another domain registered to that phone number was stairwell[.]ru, which at one point advertised the sale of wooden staircases. Constella finds that the email addresses webmaster@stairwell.ru and admin@stairwell.ru used the password 225948.

DomainTools reports that stairwell.ru for several years included the registrant’s name as “Dmitrij Ju Horoshev,” and the email address pin@darktower.su. According to Constella, this email address was used in 2010 to register an account for a Dmitry Yurievich Khoroshev from Voronezh, Russia at the hosting provider firstvds.ru.

Image: Shutterstock.

Cyber intelligence firm Intel 471 finds that pin@darktower.ru was used by a Russian-speaking member called Pin on the English-language cybercrime forum Opensc. Pin was active on Opensc around March 2012, and authored 13 posts that mostly concerned data encryption issues, or how to fix bugs in code.

Other posts concerned custom code Pin claimed to have written that would bypass memory protections on Windows XP and Windows 7 systems, and inject malware into memory space normally allocated to trusted applications on a Windows machine.

Pin also was active at that same time on the Russian-language security forum Antichat, where they told fellow forum members to contact them at the ICQ instant messenger number 669316.
NEROWOLFE

A search on the ICQ number 669316 at Intel 471 shows that in April 2011, a user by the name NeroWolfe joined the Russian cybercrime forum Zloy using the email address d.horoshev@gmail.com, and from an Internet address in Voronezh, RU.

Constella finds the same password tied to webmaster@stairwell.ru (225948) was used by the email address 3k@xakep.ru, which Intel 471 says was registered to more than a dozen NeroWolfe accounts across just as many Russian cybercrime forums between 2011 and 2015.

NeroWolfe’s introductory post to the forum Verified in Oct. 2011 said he was a system administrator and C++ coder.

“Installing SpyEYE, ZeuS, any DDoS and spam admin panels,” NeroWolfe wrote. This user said they specialize in developing malware, creating computer worms, and crafting new ways to hijack Web browsers.

“I can provide my portfolio on request,” NeroWolfe wrote. “P.S. I don’t modify someone else’s code or work with someone else’s frameworks.”

In April 2013, NeroWolfe wrote in a private message to another Verified forum user that he was selling a malware “loader” program that could bypass all of the security protections on Windows XP and Windows 7.

“The access to the network is slightly restricted,” NeroWolfe said of the loader, which he was selling for $5,000. “You won’t manage to bind a port. However, it’s quite possible to send data. The code is written in C.”

In an October 2013 discussion on the cybercrime forum Exploit, NeroWolfe weighed in on the karmic ramifications of ransomware. At the time, ransomware-as-a-service didn’t exist yet, and many members of Exploit were still making good money from “lockers,” relatively crude programs that locked the user out of their system until they agreed to make a small payment (usually a few hundred dollars via prepaid Green Dot cards).

Lockers, which presaged the coming ransomware scourge, were generally viewed by the Russian-speaking cybercrime forums as harmless moneymaking opportunities, because they usually didn’t seek to harm the host computer or endanger files on the system. Also, there were still plenty of locker programs that aspiring cybercriminals could either buy or rent to make a steady income.

NeroWolfe reminded forum denizens that they were just as vulnerable to ransomware attacks as their would-be victims, and that what goes around comes around.

“Guys, do you have a conscience?,” NeroWolfe wrote. “Okay, lockers, network gopstop aka business in Russian. The last thing was always squeezed out of the suckers. But encoders, no one is protected from them, including the local audience.”

If Khoroshev was ever worried that someone outside of Russia might be able to connect his early hacker handles to his real life persona, that’s not clear from reviewing his history online. In fact, the same email address tied to so many of NeroWolfe’s accounts on the forums — 3k@xakep.ru — was used in 2011 to create an account for a Dmitry Yurevich Khoroshev on the Russian social media network Vkontakte.

NeroWolfe seems to have abandoned all of his forum accounts sometime in 2016. In November 2016, an exploit[.]ru member filed an official complaint against NeroWolfe, saying NeroWolfe had been paid $2,000 to produce custom code but never finished the project and vanished.

It’s unclear what happened to NeroWolfe or to Khoroshev during this time. Maybe he got arrested, or some close associates did. Perhaps he just decided it was time to lay low and hit the reset on his operational security efforts, given his past failures in this regard. It’s also possible NeroWolfe landed a real job somewhere for a few years, fathered a child, and/or had to put his cybercrime career on hold.
PUTINKRAB

Or perhaps Khoroshev saw the coming ransomware industry for the endless pot of gold that it was about to become, and then dedicated himself to working on custom ransomware code. That’s what the government believes.

The indictment against Khoroshev says he used the hacker nickname Putinkrab, and Intel 471 says this corresponds to a username that was first registered across three major Russian cybercrime forums in early 2019.

KrebsOnSecurity could find no obvious connections between Putinkrab and any of Khoroshev’s older identities. However, if Putinkrab was Khoroshev, he would have learned from his past mistakes and started fresh with a new identity (which he did). But also, it is likely the government hasn’t shared all of the intelligence it has collected against him (more on that in a bit).

Putinkrab’s first posts on the Russian cybercrime forums XSS, Exploit and UFOLabs saw this user selling ransomware source code written in C.

A machine-translated ad for ransomware source code from Putinkrab on the Russian language cybercrime forum UFOlabs in 2019. Image: Ke-la.com.

In April 2019, Putkinkrab offered an affiliate program that would run on top of his custom-made ransomware code.

“I want to work for a share of the ransoms: 20/80,” Putinkrab wrote on Exploit. “20 percent is my percentage for the work, you get 80% of the ransoms. The percentage can be reduced up to 10/90 if the volumes are good. But now, temporarily, until the service is fully automated, we are working using a different algorithm.”

Throughout the summer of 2019, Putinkrab posted multiple updates to Exploit about new features being added to his ransomware strain, as well as novel evasion techniques to avoid detection by security tools. He also told forum members he was looking for investors for a new ransomware project based on his code.

In response to an Exploit member who complained that the security industry was making it harder to profit from ransomware, Putinkrab said that was because so many cybercriminals were relying on crappy ransomware code.

“The vast majority of top antiviruses have acquired behavioral analysis, which blocks 95% of crypto-lockers at their root,” Putinkrab wrote. “Cryptolockers made a lot of noise in the press, but lazy system administrators don’t make backups after that. The vast majority of cryptolockers are written by people who have little understanding of cryptography. Therefore, decryptors appear on the Internet, and with them the hope that files can be decrypted without paying a ransom. They just sit and wait. Contact with the owner of the key is lost over time.”

Putinkrab said he had every confidence his ransomware code was a game-changer, and a huge money machine.

“The game is just gaining momentum,” Putinkrab wrote. “Weak players lose and are eliminated.”

The rest of his response was structured like a poem:

“In this world, the strongest survive.
Our life is just a struggle.
The winner will be the smartest,
Who has his head on his shoulders.”

Putinkrab’s final post came on August 23, 2019. The Justice Department says the LockBit ransomware affiliate program was officially launched five months later. From there on out, the government says, Khoroshev adopted the persona of LockBitSupp. In his introductory post on Exploit, LockBit’s mastermind said the ransomware strain had been in development since September 2019.

The original LockBit malware was written in C (a language that NeroWolfe excelled at). Here’s the original description of LockBit, from its maker:

“The software is written in C and Assembler; encryption is performed through the I/O Completion Port; there is a port scanning local networks and an option to find all DFS, SMB, WebDAV network shares, an admin panel in Tor, automatic test decryption; a decryption tool is provided; there is a chat with Push notifications, a Jabber bot that forwards correspondence and an option to terminate services/processes in line which prevent the ransomware from opening files at a certain moment. The ransomware sets file permissions and removes blocking attributes, deletes shadow copies, clears logs and mounts hidden partitions; there is an option to drag-and-drop files/folders and a console/hidden mode. The ransomware encrypts files in parts in various places: the larger the file size, the more parts there are. The algorithms used are AES + RSA.

You are the one who determines the ransom amount after communicating with the victim. The ransom paid in any currency that suits you will be transferred to your wallets. The Jabber bot serves as an admin panel and is used for banning, providing decryption tools, chatting – Jabber is used for absolutely everything.”

CONCLUSION

Does the above timeline prove that NeroWolfe/Khoroshev is LockBitSupp? No. However, it does indicate Khoroshev was for many years deeply invested in countless schemes involving botnets, stolen data, and malware he wrote that others used to great effect. NeroWolfe’s many private messages from fellow forum members confirm this.

NeroWolfe’s specialty was creating custom code that employed novel stealth and evasion techniques, and he was always quick to volunteer his services on the forums whenever anyone was looking help on a malware project that called for a strong C or C++ programmer.

Someone with those qualifications — as well as demonstrated mastery of data encryption and decryption techniques — would have been in great demand by the ransomware-as-a-service industry that took off at around the same time NeroWolfe vanished from the forums.

Someone like that who is near or at the top of their game vis-a-vis their peers does not simply walk away from that level of influence, community status, and potential income stream unless forced to do so by circumstances beyond their immediate control.

It’s important to note that Putinkrab didn’t just materialize out of thin air in 2019 — suddenly endowed with knowledge about how to write advanced, stealthy ransomware strains. That knowledge clearly came from someone who’d already had years of experience building and deploying ransomware strains against real-life victim organizations.

Thus, whoever Putinkrab was before they adopted that moniker, it’s a safe bet they were involved in the development and use of earlier, highly successful ransomware strains. One strong possible candidate is Cerber ransomware, the most popular and effective affiliate program operating between early 2016 and mid-2017. Cerber thrived because it emerged as an early mover in the market for ransomware-as-a-service offerings.

In February 2024, the FBI seized LockBit’s cybercrime infrastructure on the dark web, following an apparently lengthy infiltration of the group’s operations. The United States has already indicted and sanctioned at least five other alleged LockBit ringleaders or affiliates, so presumably the feds have been able to draw additional resources from those investigations.

Also, it seems likely that the three national intelligence agencies involved in bringing these charges are not showing all of their cards. For example, the Treasury documents on Khoroshev mention a single cryptocurrency address, and yet experts interviewed for this story say there are no obvious clues connecting this address to Khoroshev or Putinkrab.

But given that LockBitSupp has been actively involved in Lockbit ransomware attacks against organizations for four years now, the government almost certainly has an extensive list of the LockBit leader’s various cryptocurrency addresses — and probably even his bank accounts in Russia. And no doubt the money trail from some of those transactions was traceable to its ultimate beneficiary (or close enough).

Not long after Khoroshev was charged as the leader of LockBit, a number of open-source intelligence accounts on Telegram began extending the information released by the Treasury Department. Within hours, these sleuths had unearthed more than a dozen credit card accounts used by Khoroshev over the past decade, as well as his various bank account numbers in Russia.

The point is, this post is based on data that’s available to and verifiable by KrebsOnSecurity. Woodward & Bernstein’s source in the Watergate investigation — Deep Throat — famously told the two reporters to “follow the money.” This is always excellent advice. But these days, that can be a lot easier said than done — especially with people who a) do not wish to be found, and b) don’t exactly file annual reports.

This entry was posted on Monday 13th of May 2024 07:26 AM
https://krebsonsecurity.com/2024/05/how-did-authorities-identify-the-alleged-lockbit-boss/