Mardi, les autorités américaines et britanniques ont révélé que le cerveau derrière LockBit, l’un des groupes de ransomwares les plus prolifiques et les plus dommageables de l’histoire, est un Russe de 31 ans nommé Dmitry Yuryevich Khoroshev, alias « LockbitSupp ».
Comme c’est l’habitude dans ce type d’annonces, les forces de l’ordre ont publié des photos de Khoroshev, ainsi que des détails sur les opérations de son groupe. Le ministère américain de la Justice a accusé Khoroshev de plusieurs crimes informatiques, fraude et extorsion. Ce faisant, le gouvernement fédéral a également révélé certains détails sur les opérations passées de LockBit.
Plus tôt cette année, les autorités ont saisi l’infrastructure de LockBit et les banques de données du gang, révélant des détails clés sur le fonctionnement de LockBit.
Aujourd’hui, nous avons plus de détails sur ce que le gouvernement fédéral a appelé « une organisation criminelle massive qui s’est parfois classée comme le groupe de ransomwares le plus prolifique et destructeur au monde ».
Voici ce que nous avons appris de l’acte d’accusation de Khoroshev.
Khoroshev avait un deuxième surnom : putinkrab
Le leader de LockBit était publiquement connu sous le surnom peu imaginatif de LockBitSupp. Mais Khoroshev avait aussi une autre identité en ligne : putinkrab. L’acte d’accusation ne contient aucune information sur le pseudo en ligne, bien qu’il semble faire référence au président russe Vladimir Poutine. Sur Internet, cependant, plusieurs profils utilisent le même surnom sur Flickr, YouTube et Reddit, même s’il n’est pas clair si ces comptes étaient gérés par Khoroshev.
LockBit a également fait des victimes en Russie
Dans le monde de la cybercriminalité russe, selon les experts, il existe une règle sacrée et non écrite : piratez quiconque en dehors de la Russie et les autorités locales vous laisseront tranquille. Étonnamment, selon le gouvernement fédéral, Khoroshev et ses co-conspirateurs « ont également déployé LockBit contre plusieurs victimes russes ».
Il reste à voir si cela signifie que les autorités russes s’en prendront à Khoroshev, mais au moins elles savent désormais qui il est.
Khoroshev surveillait de près ses affiliés
Les opérations de ransomware comme LockBit sont connues sous le nom de ransomware-as-a-service. Cela signifie qu’il y a des développeurs qui créent le logiciel et l’infrastructure, comme Khoroshev, et puis il y a des filiales qui exploitent et déploient le logiciel, infectant les victimes et extorquant des rançons. Les affiliés ont payé à Khoroshev environ 20 % de leurs revenus, ont affirmé les autorités.
Selon l’acte d’accusation, ce modèle commercial permettait à Khoroshev de surveiller « de près » ses affiliés, notamment en ayant accès aux négociations avec les victimes et parfois en y participant. Khoroshev a même « exigé des pièces d’identité de ses affiliés Coconspirators, qu’il conservait également sur son infrastructure ». C’est probablement ainsi que les forces de l’ordre ont pu identifier certains des affiliés de Lockbit.
Khoroshev a également développé un outil appelé « StealBit » qui complète le principal ransomware. Cet outil permettait aux affiliés de stocker les données volées aux victimes sur les serveurs de Khoroshev, et parfois de les publier sur le site officiel de fuite du dark web de LockBit.
Les paiements du ransomware de LockBit s’élèvent à environ 500 millions de dollars
LockBit a été lancé en 2020, et depuis lors, ses affiliés ont réussi à extorquer au moins environ 500 millions de dollars à environ 2 500 victimes, dont « de grandes sociétés multinationales, des petites entreprises et des particuliers, et ils comprenaient des hôpitaux, des écoles, des organisations à but non lucratif, des infrastructures critiques et le gouvernement et les forces de l’ordre.
Outre le paiement des rançons, LockBit « a causé des dommages dans le monde entier totalisant des milliards de dollars américains », parce que le gang a perturbé les opérations des victimes et forcé beaucoup d’entre elles à payer des services d’intervention et de récupération en cas d’incident, ont affirmé les autorités fédérales.
Khoroshev a contacté les autorités pour identifier certains de ses affiliés
Probablement la plus choquante des dernières révélations : en février, après que la coalition des forces de l’ordre mondiales ait supprimé le site Web et l’infrastructure de LockBit, Khoroshev « a communiqué avec les forces de l’ordre et a proposé ses services en échange d’informations sur l’identité de son [ransomware-as-a-service] concurrents. »
Selon l’acte d’accusation, Khoroshev a demandé aux forces de l’ordre de «[g]donnez-moi les noms de mes ennemis.