Информация

Хорошев или не Хорошев? Могло ли ФБР ошибиться, связав мужчину с вымогательской империей LockBit

Быстрая покупка VPN для России через удобный Телеграмм-бот:

Новые детали привнесли больше ясности в дело «великого и ужасного» LockBitSupp.

На прошлой неделе США, совместно с Великобританией и Австралией, предъявили обвинения и наложили санкции против Дмитрия Хорошева, которого считают лидером известной вымогательской группировки LockBit.

Настоящий лидер LockBit, известный в Сети под псевдонимом «LockBitSupp», быстро прокомментировал заявления правоохранителей, утверждая, что последние ошиблись. Якобы он — никакой не Хорошев, и ему жаль этого парня в связи с возможными проблемами, с которыми он теперь может столкнуться из-за ложных обвинений в связи с LockBit.

Исследователь Брайан Кребс с портала KrebsonSecurity решил собственноручно разобраться, какими фактами оперировали власти сразу трёх стран, когда выносили свои обвинения. В данном материале мы кратко ознакомимся с его расследованием и выводами, к которым пришёл киберэксперт, основываясь на сведениях правоохранителей и других независимых исследователей.

7 мая Министерство юстиции США предъявило Хорошеву обвинения по 26 преступным эпизодам, включая вымогательство, мошенничество и сговор. Власти утверждают, что Хорошев создал, использовал сам и распространял среди аффилиатов вирус-вымогатель LockBit, успев за время активности группировки заработать более $100 миллионов. Тем временем, суммарные доходы LockBit за четыре года своего существования составили около полумиллиарда долларов.

Федеральные следователи заявляют, что Хорошев управлял LockBit по модели RaaS (вымогательство как услуга), получая 20% от суммы выкупа, а оставшиеся 80% шли аффилиатам, распространявшим вирус. Финансовые санкции, наложенные на Хорошева Министерством финансов США, включают его известные электронные адреса, домашний адрес, номер паспорта и даже налоговый идентификатор.

Согласно данным DomainTools.com, электронный адрес «sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, включая бизнес, зарегистрированный на имя Хорошева, под названием «tkaner[.]com», который представляет собой блог об одежде и ткани.

  AgentTesla + Word: бесфайловые атаки не оставляют шансов на обнаружение

Поиск на Constella Intelligence по номеру телефона, указанному в регистрационных документах Tkaner, показал несколько официальных документов, подтверждающих владение номером Дмитрием Юрьевичем Хорошевым.

Получи VPN-прокси для России через наш удобный Телеграмм-бот:

Другой домен, зарегистрированный на этот номер телефона, «stairwell[.]ru», ранее рекламировал деревянные лестницы, однако ныне не функционирует. В отчётах DomainTools отмечается, что этот домен в течение нескольких лет содержал имя «Dmitrij Ju Horoshev» и электронный адрес «pin@darktower[.]su».

По данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Юрьевича Хорешева из Воронежа у хостинг-провайдера FirstVDS. Кроме того, компания Intel 471 обнаружила, что этот же адрес также использовался русскоязычным участником под ником «Pin» на англоязычном киберпреступном форуме Opensc, где «Pin» был особенно активен в 2012 году и писал о проблемах шифрования данных и обходе защитных механизмов Windows.

На форуме Antichat участник «Pin» рекомендовал связываться с ним через ICQ под номером 669316. По данным Intel 471, этот ICQ-номер в апреле 2011 года был зарегистрирован на форуме Zloy под именем «NeroWolfe» с адресом «d.horoshev@gmail[.]com» и IP-адресом из Воронежа.

Аккаунт «NeroWolfe» использовал те же пароли, что и на «stairwell.ru», и был зарегистрирован на более десяти других киберпреступных форумов в период с 2011 по 2015 год. «NeroWolfe» представил себя как системного администратора и программиста на C++ и предлагал услуги по установке вредоносного ПО и разработке новых способов взлома веб-браузеров.

В 2019 году пользователь под ником «Putinkrab» начал предлагать исходный код вирусов-вымогателей на киберпреступных форумах XSS, Exploit и UFOLabs. В апреле 2019 года он запустил партнёрскую программу с разделением выкупа 20/80 в пользу партнёров. Последний пост от пользователя с этим ником был отправлен 23 августа 2019 года.

  Git латает дыры: сразу пять исправлений делают работу с репозиториями безопаснее

Министерство юстиции заявляет, что через пять месяцев был официально запущен партнёрский проект LockBit, которым, как утверждается, и руководил Хорошев, но уже под псевдонимом «LockBitSupp». Кроме того, оригинальный шифровальщик LockBit был написан на языке программирования C, в котором «NeroWolfe» был экспертом.

Пока не доказано, что Хорошев наверняка является «LockBitSupp», но вся его деятельность на протяжении многих лет указывает на глубокую вовлеченность в различные киберпреступные схемы с ботнетами, кражей данных и вредоносным ПО. Хорошев демонстрировал мастерство в области шифрования и создания скрытных программ, что явно сделало его востребованным в RaaS-индустрии.

В феврале 2024 года ФБР захватило киберпреступную инфраструктуру LockBit в даркнете после длительной операции «Cronos». С учётом предъявленных обвинений, санкций против Хорошева и других участников LockBit, власти, вероятно, обладают обширной информацией о деятельности группы. Едва ли они могли ошибиться с учётом столь многочисленных и явных связей с Хорошевым.

Кроме того, вскоре после обвинений в адрес Хорошева некоторые независимые исследователи безопасности раскрыли в Telegram десятки кредитных карт и банковских счетов, связанных с ним. Все они, совершенно точно, были бы далеко не лишними для скрытного вывода денежных средств после проведения масштабных вымогательских операций.

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься

Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.

Почему стоит купить безопасный VPN?

  • Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.

  • Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.

  • Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.

  • Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.

  Microsoft исправляет досадную ошибку BitLocker, нарушавшую эмоциональное равновесие администраторов

Оставить ответ