Az amerikai hatóságok bejelentették, hogy vádat emeltek egy orosz-izraeli kettős állampolgár ellen a LockBit zsarolóvírus-csoportban való állítólagos részvétele miatt, miközben a kiadatási eljárás folyamatban van.
A 51 éves Rostislav Panevet azzal vádolják, hogy 2022 januárja óta fejlesztőként és programozóként működött közre a LockBit csoportban, és ez idő alatt körülbelül 230 000 dollárt keresett kriptovalutában a munkájáért – derült ki az amerikai Igazságügyi Minisztérium nyilvánosságra hozott vádjaiból.
A LockBit számos zsarolóvírus-támadással hozható összefüggésbe, melyek során a hackerek megbénítják az áldozatok rendszereit, vagy titkosítják adataikat, és váltságdíjat követelnek azok helyreállításáért. A csoport magas szintű célpontjai között szerepelt a Boeing Co., a Kínai Ipari és Kereskedelmi Bank (ICBC), valamint az Egyesült Királyság Királyi Postája.
Panevet augusztusban tartóztatták le Izraelben az Egyesült Államok előzetes letartóztatási kérelme alapján, kiadatása céljából. Jelenleg Izraelben van őrizetben a megfogalmazott vádak alapján.
„Amint a vádirat állítja, Rostislav Panev évekig olyan digitális fegyvereket fejlesztett és tartott karban, amelyek lehetővé tették LockBit-beli bűntársai számára, hogy pusztítást végezzenek, és világszerte több milliárd dolláros kárt okozzanak. Panev azonban, mint a korábban azonosított és vád alá helyezett LockBit-tagok sem, nem maradhatott névtelen, és nem kerülhette el az igazságszolgáltatást. Most felelnie kell a bűneiért. Ez a bejelentés újabb csapást jelent az Egyesült Államok és nemzetközi partnereink részéről a LockBit szervezete ellen, és erőfeszítéseink folytatódni fognak, amíg a csoport teljesen meg nem semmisül, és tagjai nem kerülnek bíróság elé” – nyilatkozta Philip R. Sellinger, az Egyesült Államok ügyésze.
„Az Igazságügyi Minisztérium munkája a világ legveszélyesebb zsarolóvírus-hálózatainak felszámolására nemcsak a hálózatok megsemmisítését, hanem azok működtetőinek azonosítását és igazság elé állítását is magában foglalja” – mondta Merrick B. Garland amerikai igazságügy-miniszter. „Három olyan személy, akikről azt állítjuk, hogy felelősek a LockBit kiber-támadásaiért, már őrizetben van, és továbbra is együttműködünk partnereinkkel, hogy mindenkit felelősségre vonjunk, aki részt vett vagy hozzájárult ezekhez a zsarolóvírus-támadásokhoz.”
A LockBit vizsgálatának eredményei
A vizsgálat szerint Panev 2019-től 2024 februárjáig volt aktív fejlesztője a LockBit zsarolóvírus-csoportnak. Ez idő alatt a csoport több mint 2500 áldozatot támadott meg legalább 120 országban, köztük 1800-at az Egyesült Államokban. Az áldozatok között magánszemélyek, kisvállalkozások, multinacionális cégek, kórházak, iskolák és kormányzati szervek is szerepeltek. A LockBit tagjai legalább 500 millió dollárt követeltek váltságdíjként, és milliárdos károkat okoztak az áldozatoknak.
Panev állítólag kódrészleteket fejlesztett, amelyek lehetővé tették az antivírus-szoftverek letiltását, a zsarolóvírus terjesztését hálózatokon belül, valamint a váltságdíjköveteléseket tartalmazó üzenetek automatikus nyomtatását. LockBit csoport tagjai között „fejlesztők” is voltak, mint például Panev, akik a LockBit kártékony szoftverkódját tervezték és karbantartották a csoport működéséhez szükséges infrastruktúrát. A LockBit másik tagcsoportját „partnereknek” nevezték, akik végrehajtották a LockBit támadásokat, és váltságdíjat zsaroltak ki az áldozatoktól. A fejlesztők és a partnerek megosztották az áldozatoktól kicsikart váltságdíjat.
A kiegészített vádirat szerint, amikor Panevet augusztusban Izraelben letartóztatták, a hatóságok az ő számítógépén adminisztrátori hitelesítő adatokat találtak egy online tárhelyhez, amely a dark weben működött, és több LockBit kártékony szoftververzió forráskódját tárolta. Ez lehetővé tette a LockBit partnerek számára, hogy testreszabott változatokat generáljanak a LockBit zsarolóvírusból egyes áldozatok számára. A hatóságok a tárhelyen felfedezték a LockBit „StealBit” eszközének forráskódját is, amely segített a LockBit partnereknek az ellopott adatok kiexportálásában. Továbbá hozzáférési adatokat találtak a LockBit irányítópultjához, egy online kezelőfelülethez, amelyet a fejlesztők tartottak fenn a LockBit partnerek számára a dark weben.
A vádirat azt is állítja, hogy Panev közvetlen üzeneteket váltott egy kiberbűnözői fórumon a LockBit elsődleges adminisztrátorával, akiről az Egyesült Államok májusban, egy New Jersey-i kerületben nyilvánosságra hozott vádirat szerint úgy vélik, hogy Dmitrij Jurjevics Horosev (Дмитрий Юрьевич Хорошев), más néven LockBitSupp, LockBit, és putinkrab. Ezekben az üzenetekben Panev és az adminisztrátor megbeszélték a LockBit „builder” és irányítópult fejlesztésével kapcsolatos munkákat.
A bírósági dokumentumok szerint 2022 júniusa és 2024 februárja között a LockBit elsődleges adminisztrátora havonta körülbelül 10 000 dollár értékű kriptovalutát utalt át egy Panev tulajdonában lévő tárcába, illegális kriptovaluta-mixelő szolgáltatásokon keresztül. Ezek az átutalások összesen több mint 230 000 dollárt tettek ki.
Az augusztusi letartóztatását követően Panev az izraeli hatóságokkal folytatott interjúk során elismerte, hogy kódolási, fejlesztési és tanácsadási munkát végzett a LockBit csoport számára, és rendszeres kriptovaluta-fizetéseket kapott ezért a munkáért, amelyek megegyeztek az amerikai hatóságok által azonosított átutalásokkal. Panev elismerte, hogy olyan kódot fejlesztett, amely képes volt kikapcsolni a vírusirtó szoftvereket, zsarolóvírust telepíteni a célszámítógépek hálózatára, és LockBit váltságdíj-üzeneteket nyomtatni a hálózathoz csatlakoztatott összes nyomtatóra. Továbbá elismerte, hogy írta és karbantartotta a LockBit kártékony szoftver kódját, valamint technikai útmutatást nyújtott a LockBit csoportnak.
A LockBit nyomozás
A Panev elleni kiegészített vádirat és letartóztatása a LockBit zsarolóvírus tevékenységének februári megszakítását követi, amelyet az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (NCA) Kiber Osztálya hajtott végre az amerikai Igazságügyi Minisztérium, az FBI és más nemzetközi bűnüldöző partnerek együttműködésével. A hatóságok több LockBit által használt nyilvános weboldalt és szervert foglaltak le, jelentősen csökkentve a csoport hírnevét és további támadási képességét.
A vádirat továbbá Horosev és más LockBit tagok elleni vádemeléseket követ, akik közül többen jelenleg is szökésben vannak. Az amerikai külügyminisztérium akár 10 millió dolláros jutalmat kínál információkért, amelyek ezen személyek letartóztatásához vezetnek.