火曜日、米英当局はLockBitの首謀者である31歳のロシア人デミトリ・ユリエヴィッチ・ホロショフ（通称「LockbitSupp」）がLockBitの背後にいることを明らかにしました。LockBitは、歴史上最も多産で損害の大きいランサムウェアグループの1つです。

このような発表では、警察がホロショフの写真や彼のグループの運営の詳細を公開しました。アメリカ司法省は、ホロショフを複数のコンピュータ犯罪、詐欺、恐喝で起訴しました。そしてその過程で、当局はLockBitの過去の運営についてもいくつかの詳細を明らかにしました。

今年初めに、当局はLockBitのインフラとグループのデータバンクを押収し、LockBitの動作の重要な詳細が明らかになりました。

今日、私たちは「時折、世界で最も多産で破壊的なランサムウェアグループとしてランク付けされてきた巨大な犯罪組織」と呼ばれるものについてもっと詳細が出てきました。

ホロショフは別のニックネーム「putinkrab」を持っていた

LockBitのリーダーはあまり創造的でないニックネームLockBitSuppで公に知られていました。しかし、ホロショフにはもう一つのオンラインのアイデンティティである「putinkrab」もありました。起訴状にはこのオンラインハンドルに関する情報は含まれていませんが、ロシアのウラジーミル・プーチン大統領を参照しているようです。インターネット上には、Flickr、YouTube、Redditなどで同じ名前を使用しているプロフィールがいくつかありますが、これらのアカウントがホロショフによって運営されていたかどうかは不明です。

LockBitはロシアの被害者も標的にした

専門家によると、ロシアのサイバー犯罪の世界では、署名されていない神聖なルールがあります。それは、ロシアの外で誰かをハッキングしても、地元の当局はあなたを構わないというものです。驚くべきことに、当局によると、ホロショフと彼の共謀者は「ロシアの複数の被害者にもLockBitを展開しました」と述べています。

これがロシア当局がホロショフを追及することを意味するかどうかはまだ分かりませんが、少なくとも彼らは今彼が誰であるかを知っています。

ホロショフはアフィリエイターを密に監視していた

LockBitのようなランサムウェアの運営は「ランサムウェア・アズ・サービス」として知られています。つまり、Khoroshevのようなソフトウェアとインフラを作成する開発者がおり、そしてアフィリエイターがソフトウェアを運営し、被害者に感染させ、身代金を要求するという仕組みです。アフィリエイターは売り上げの約20％をホロショフに支払っていたと当局は主張しています。

起訴状によると、このビジネスモデルはKhoroshevに「緊密に」アフィリエイトを監視する機会を提供し、被害者との交渉にアクセスし、時にはそれに参加する機会を与えました。ホロショフは時にアフィリエイターから身元証明書を要求し、それを自らのインフラに保持していました。これがLockbitのアフィリエイターの一部を特定した方法である可能性があります。

ホロショフはまた、主要なランサムウェアを補完する「StealBit」というツールを開発しました。このツールはアフィリエイターが被害者から盗んだデータをKhoroshevのサーバーに保存し、LockBitの公式ダークウェブのリークサイトに時々公開することができるようにしました。

LockBitの身代金支払いは約5億ドルに上った

LockBitは2020年に立ち上げられ、そのアフィリエイターはこれまでに少なくとも約2,500人の被害者から少なくとも約5億ドルを成功裏に身代金を強要しました。「主要な多国籍企業から中小企業や個人、病院、学校、非営利団体、重要インフラ施設、政府機関や法執行機関なども含まれていました」と述べています。

身代金支払い以外にも、LockBitは「世界中で数十億ドル相当の被害をもたらし、多くの犯罪組織に対して対応と回復サービスの支払いを余儀なくされました」と当局は主張しています。

ホロショフは彼のアフィリエイターの身元を特定するために当局と連絡を取りました

おそらく最も驚くべき最新の情報の1つは、2月に世界各地の法執行機関連合がLockBitのウェブサイトとインフラを摘発した後、ホロショフが「法執行機関と連絡を取り、自身の[ランサムウェア・アズ・サービス]競合相手の身元情報と引き換えに彼のサービスを提供した」というものです。

起訴状によると、ホロショフは法執行機関に「私の敵の名前を教えてくれ」と求めていました。