Национальное агентство по борьбе с преступностью (NCA) вместе с глобальными агентствами-партнерами, участвовавшими в операции Cronos, операции против банды вымогателей LockBit, официально назвало лидера команды, администратора и ключевого разработчика LockBitSupp Дмитрием Хорошевым.
Хорошев, который в какой-то момент дразнил своих преследователей, предложив вознаграждение в размере 10 миллионов долларов любому, кто сможет успешно раскрыть его истинную личность, подвергнется серии замораживаний активов и запретов на поездки, а также сегодня ему предъявлено обвинение в Соединенных Штатах в 26 преступления, связанные с мошенничеством, повреждением защищенных компьютеров и вымогательством. Власти США также предлагают многомиллионное вознаграждение за информацию, которая может привести к его аресту и экстрадиции.
«Эти санкции имеют огромное значение и показывают, что киберпреступникам, таким как Дмитрий Хорошев, которые сеют хаос по всему миру, нет укрытия. Он был уверен, что сможет сохранить анонимность, но ошибался», — сказал директор NCA Грэм Биггар.
«Мы знаем, что наша работа по разрушению LockBit до сих пор была чрезвычайно успешной в снижении их возможностей и доверия среди преступного сообщества. Попытка группы перестроиться привела к созданию гораздо менее сложного предприятия со значительно меньшим воздействием.
«Сегодняшнее объявление забивает еще один огромный гвоздь в гроб LockBit, и наше расследование продолжается. Сейчас мы также нацелены на филиалы, которые использовали услуги LockBit для проведения разрушительных атак с помощью программ-вымогателей на школы, больницы и крупные компании по всему миру», — сказал Биггар.
«Работая с нашими международными партнерами, мы будем использовать все имеющиеся в нашем распоряжении инструменты для нападения на другие группы, такие как LockBit, разоблачения их лидеров и подрыва их деятельности по защите общества», — добавил он.
Операция против пресловутой банды-вымогателя LockBit, Operation Cronos, развернулась 19 февраля 2024 года в рамках операции под руководством NCA, в ходе которой агентство проникло в ее сеть и взяло под свой контроль ее услуги, включая сайт утечки информации в даркнете.
Сегодня NCA заявило, что в период с июня 2022 года по февраль 2025 года в рамках операции «программы-вымогатели как услуга» было проведено более 7000 кибератак, жертвами которых стали более 100 больниц и медицинских организаций, и по меньшей мере 2110 жертв были вынуждены вступить в ту или иную степень переговоров.
Из 194 филиалов, идентифицированных как пользовавшиеся услугами LockBit до февраля 2024 года, сейчас это число упало до 69, поскольку группа изо всех сил пытается восстановиться. Из этих активных филиалов 148 проводили атаки и 119 участвовали в переговорах с жертвами, хотя до 114 филиалов, которые заплатили бы тысячи за присоединение к программе LockBit, фактически никогда не зарабатывали деньги на своей преступной деятельности.
Он также добавил, что обнаружил несколько случаев, когда расшифровщик, предоставленный LockBit жертвам, которые заплатили, никогда не работал, и многие другие, когда LockBit не сдержал своего «обещания» удалить украденные данные после оплаты.
В NCA заявили, что сейчас у них имеется более 2500 ключей дешифрования, и они продолжают связываться с жертвами LockBit, чтобы предложить поддержку. На данный момент они идентифицировали и связались с 240 жертвами в Великобритании.
Восстановление LockBit идет не очень хорошо
Между тем, попытки группировки восстановиться в течение последних нескольких месяцев, судя по всему, идут плохо: банда по-прежнему работает с ограниченными возможностями, а ее новое место утечки используется для предания огласке жертв нападения, на которое напали до задержания, а также для попыток взять на себя ответственность. за преступления других.
Последние данные NCA показывают, что количество ежемесячных атак LockBit в Великобритании снизилось на 73% с конца февраля, и те атаки, которые происходят, осуществляются менее опытными злоумышленниками и имеют гораздо меньшее воздействие.
«Поскольку операция «Кронос» предприняла подрывные действия, Локбит борется за восстановление своего доминирования и, что наиболее важно, за авторитет в сообществе киберпреступников», — сказал Дон Смит, вице-президент подразделения противодействия угрозам SecureWorks.
«Психологический элемент действий правоохранительных органов оказался чрезвычайно эффективным, усилия группировки по восстановлению прежней репутации не увенчались успехом. Сегодняшнее разоблачение Дмитрия Хорошева aka Локбит Супп, демонстрирует способность правоохранительных органов лишать киберпреступников защитного покрытия анонимности и подвергать их риску ареста и судебного преследования, если они выезжают за границу со своей родной страной».
