Como é que as autoridades chegaram ao líder do Lockbit, o maior grupo de ransomware?

Rui Parreira

16 mai 2024 09:24

O grupo de ransomware Lockbit foi desmantelado em fevereiro, deixando dúvidas se as atividades iriam ser encerradas. As autoridades detalharam a investigação que levou à detenção do seu líder Dmitry Yuryevich Khoroshev.

Em fevereiro as autoridades marcaram uma vitória importante na cibersegurança ao desmantelar a Lockbit aquele que é considerado o maior grupo de ransomware do mundo. O grupo atuava num modelo ransomware as a service, oferecendo ferramentas utilizadas por uma centena de grupos afiliados para realizar ataques e extorquir milhões de euros a empresas espalhadas pelo mundo. O grupo era apontado por gerir um quarto dos ataques de ransomware a nível global, incluindo Portugal.

Por trás desse grupo estará um homem russo chamado Dmitry Yuryevich Khoroshev. Mas ligado ao nome encontram-se nicks e personas falsas que utilizava para se identificar neste mercado negro. Um dos perfis utilizados era “LockBitSupp”, que reclama que as autoridades apanharam a pessoa errada e que a acusação não explica como está ligado a Khoroshev.

No blog da Krebson Security está explicado o processo longo e complexo de investigação, que levaram as autoridades a ligar os pontos para chegar ao líder do grupo e aos respetivos alter-egos nos diferentes fóruns dedicados ao cibercrime, numa carreira com 14 anos.

Dmitry Yuryevich Khoroshev foi acusado de 26 crimes pela Justiça dos Estados Unidos, incluindo a extorsão, fraude e conspiração. O ransomware criado pelo grupo Lockbit soma mais de 100 milhões de dólares entre centenas de organizações vítimas. E como grupo, as práticas somam 500 milhões de dólares nos últimos quatro anos. No seu modo de operar como um serviço de ransomware, o Lockbit ficava com 20% do valor do resgate pago quando era utilizado o seu código, com os restantes 80% a irem para os afiliados do grupo, responsáveis por espalhar o malware.

O líder do grupo foi identificado pelo departamento do tesouro dos Estados Unidos, listando o seu email e endereço postal conhecido, número de passaporte e até o seu número fiscal russo. Com estes dados, as autoridades foram colando as peças do puzzle, seguindo o seu rastro online, nos domínios online registados por si, negócios encobertos e grupos associados. Os registos ligam-no até a contas da app de mensagens ICQ de 2011, assim como outros perfis criados online, como o nickname Putinkrab.

Nas conclusões dos analistas, todos os dados somados não provam que Khoroshev seja de facto LockBitSupp, mas indica que Khoroshev esteve envolvidos em incontáveis esquemas de roubo de dados, botnets e malware escrito por si que foi utilizado por outros.