Anatomia unei căderi: Gruparea LockBit din Rusia, fost lider mondial în criminalitatea informatică

Cine a vrut să ucidă LockBit, unul dintre principalii furnizori ai criminalității informatice mondiale? Fondatorul său rus este liber, reținut sau mort? Ce joc murdar joacă Kremlinul cu infractorii cibernetici, la granița dintre dark web și lumea reală?, se întreabă agenția AFP, citată de boursorama.com.

La 7 mai, sistemul LockBit a fost spart și o parte din datele sale au fost furate. O umilință pentru fostul lider mondial în domeniul ransomware, un software care pătrunde în sistemul unei companii, îi fură conținutul și îi stoarce de bani pe proprietari.

Pe site-ul său a apărut un mesaj batjocoritor: „Don’t do crime, crime is bad, xoxo from Prague”. De atunci, în mica lume a informațiilor privind amenințările cibernetice (CTI), anecdota a dat naștere atât la râs, cât și la reflecție.

LockBit era un important furnizor de servicii, indispensabil „afiliaților” săi, infractorii de ransomware. În special, a furnizat software de atac, criptare pentru abordarea victimelor, găzduire pentru datele furate și metode de spălare a banilor.

Ca un intermediar care furnizează pașapoarte, arme de foc și o mașină unui grup terorist. Cu excepția faptului că tranzacția este decontată în criptomonede și nu există niciun nume de familie, nicio față vizibilă și niciun contact fizic.

Damien Bancal, expert în criminalitate informatică de peste 30 de ani, prezintă scena.

O astfel de criză zguduie întreaga industrie și provoacă o multitudine de comentarii și dialoguri, pe internet sau în întuneric, care „ne dau o idee despre manipulările la care (LockBit și celelalte grupuri, n.r.) se angajează sau sunt supuse, fie ele financiare, tehnice sau geopolitice”, explică el pentru AFP.

Marcă înregistrată

În 2023, LockBit se afla în spatele a 44% din atacurile ransomware la nivel mondial, potrivit expertului. Vânată de forțele de poliție occidentale, gruparea a suferit un prim val de arestări, coordonat de Londra și Washington, în aproximativ zece țări în februarie 2024, ceea ce i-a afectat credibilitatea.

În Franța, secția de combatere a criminalității informatice din cadrul Parchetului din Paris a deschis o anchetă împotriva LockBit, precum și mai multe dosare separate în care sunt implicate filiale și membri ai altor grupări infracționale informatice.

Numai în 2024, secția a primit plângeri cu privire la 450 de atacuri ransomware, dintre care LockBit a fost cel mai activ grup. „LockBit era într-adevăr un brand”, a confirmat pentru AFP procurorul din Paris.

Cea mai recentă intruziune sălbatică – și în mod ciudat nereclamată – în sistemul bestiei pe jumătate moarte a sfârșit prin a o termina.

„LockBit era numărul unu. Astăzi, era în modul de supraviețuire și a suferit o nouă lovitură prin această dezvăluire”, explică Vincent Hinderer, responsabil cu CTI la Orange Cyberdéfense (OCD).

Grupul continuă să funcționeze cât poate mai bine. Dar observarea discuțiilor online, a negocierilor și a portofelelor de monede virtuale arată „atacuri cu răscumpărări mici, deci un randament relativ scăzut al investițiilor”.

Mafia 3.0

În lumea criminalității informatice, raportul de forțe se poate schimba în spațiul unui dublu clic. „Unele grupuri ajung să dețină o poziție dominantă și apoi cad în dizgrație”, explică Vincent Hinderer. „Conti a fost lider, apoi LockBit, apoi RansomHub. Astăzi, alții preiau conducerea”.

„Se poate face o paralelă cu lupta împotriva terorismului”, recunoaște un oficial francez din domeniul apărării cibernetice, vorbind sub rezerva anonimatului. „Îi tai un cap, iar altele cresc la loc”.

Prima certitudine este că sectorul este dominat de ruși.

În top 10 al furnizorilor de servicii în domeniul criminalității informatice, „există două grupuri chineze, toate celelalte sunt rusofone, majoritatea fiind încă localizate fizic în Rusia sau în sateliții săi”, asigură un actor important din domeniu care activează în sectorul privat, care solicită, de asemenea, anonimatul.

Vineri, Europol și Eurojust și-au asumat responsabilitatea pentru un nou raid. Douăzeci de mandate de arestare vizând în „marea majoritate cetățeni ruși”, potrivit Parchetului din Frankfurt și poliției federale germane. 300 de servere scoase din funcțiune, dintre care 50 în Germania. Confiscarea a 3,5 milioane de euro în criptomonede.

A doua certitudine este că statul rus joacă un joc complex cu aceste bande. Oficialul francez descrie „porozitatea cu serviciile statului” a acestei „mafii 3.0”.

„Nu se poate spune că grupările sunt sponsorizate de statul rus, dar complacerea și impunitatea de care se bucură sunt suficiente pentru a-l face complice”.

Wanted: 10 milioane de dolari

Scurgerea de date de la LockBit, larg comentată de comunitatea de observatori cibernetici, a dus la descoperirea faptului că una dintre filialele sale atacase un oraș rusesc cu 50 000 de locuitori.

A fost o mișcare greșită: fondatorul său, un anume Dimitri Horocev, trăiește în Rusia. Și „nu ataci în propria ta țară dacă nu vrei să ai probleme juridice”, spune Vincent Hinderer.

LockBit a oferit imediat municipalității atacate un software de decriptare, ca un antidot la otrava care o macină. Dar nu a funcționat. „A fost transmis FSB-ului, care a rezolvat problema pe ascuns”, spune oficialul francez.

Aceeași sursă menționează, de asemenea, cazul lui Maxime Yakubets, membru al grupului Evil Corp, căutat de Washington și care afișează fără rușine o colecție somptuoasă de mașini de lux, cu înmatriculări care includ anumite litere care sunt rezervate în mod normal înalților funcționari.

În ceea ce îl privește pe Horocev, Departamentul de Stat al SUA a pus o recompensă de 10 milioane de dolari pe capul său. În aprilie 2024, site-ul departamentului a postat o fotografie a acestui rus elegant, în vârstă de 32 de ani, cu o față fină și ochi ageri. Însă greutatea, înălțimea, culoarea părului și a ochilor erau descrise ca fiind necunoscute.

„Din ianuarie 2020, LockBit a efectuat atacuri împotriva a peste 2 500 de victime din întreaga lume, dintre care aproximativ 1.800 în Statele Unite, (…) primind cel puțin 150 de milioane de dolari sub formă de plăți de răscumpărare efectuate sub formă de monedă digitală”, a declarat Departamentul de Stat.

Potrivit experților, această sumă reprezintă doar partea sa din pradă, adică 20% din volumele generate de operațiunile intruzive ale afiliaților săi.

El este cunoscut ca fiind bombastic, provocator și egocentric, ca atunci când oferă bani oricui își tatuează logo-ul grupării pe corp sau găsește un defect în serverul său.

“Veți lucra pentru noi”

Cât despre restul, mister absolut. „Atât timp cât nu iese din Rusia, nu va fi arestat”, spune expertul din sectorul privat. Dar „nu suntem siguri că este în viață”.

Toate sursele intervievate de AFP au descris comportamentul ambivalent al autorităților ruse, între supraveghere de scurtă durată, laxism calculat și manipulare politică.

„Statul rus lasă grupurile să-și facă treaba, este foarte mulțumit de această formă de hărțuire continuă” în care se angajează infractorii cibernetici, spune același expert. Mai ales atunci când aceștia vizează Ucraina sau țările occidentale.

Damien Bancal citează cazul Sodinokibi, un grup de hackeri cunoscut și sub numele de REvil, desființat în ianuarie 2022.

„FBI (poliția federală americană) a dat o mână de ajutor FSB în arestarea grupului. În timpul arestărilor, au găsit lingouri de aur, iar saltelele lor erau pline cu bancnote”, povestește el.

De atunci, invazia rusă în Ucraina a venit, iar „nimeni nu mai cooperează cu nimeni”.

Întrebat luni de AFP dacă Washingtonul a făcut o cerere oficială de informații despre Dimitri Horocev, purtătorul de cuvânt al Kremlinului, Dmitri Peskov, a declarat că nu are „nicio informație”.

Potrivit acestuia, „există contacte între serviciile speciale (ruse și americane). Dar pentru moment nu putem vorbi despre o cooperare la scară largă”.

De fapt, Moscova profită din plin de pe urma acestor extorcări. „Arestarea infractorilor de ransomware înseamnă astăzi punerea în posesie a tuturor datelor pe care aceștia le-au putut fura. Este o mană cerească”, explică Damien Bancal.

Pe lângă bani și criptomonede, „zeci, dacă nu chiar sute de milioane de informații au fost furate de la companii de către grupurile ransomware”, spune el.

În noiembrie 2024, a intrat în vigoare o lege rusă care permite utilizarea criptomonedelor ca mijloc de eludare a sancțiunilor occidentale, reglementând în același timp strict producerea acestora. Legea prevede că numai companiile înscrise într-un registru special au dreptul de a le produce în masă.

Dar represiunea este variabilă. În august anul trecut, un infractor cibernetic rus a fost returnat țării sale în cadrul unui schimb de prizonieri cu mai multe țări occidentale.

În timp ce justiția rusă condamnă în mod regulat hackerii la închisoare, Damien Bancal bănuiește că raportul de forțe este departe de a fi strict legal: „Te arestez, te îmbrățișez în stil rusesc și te eliberez. Dar veți lucra pentru noi”, rezumă el.

Infractorii sunt de acord, forțați și constrânși, uneori mulțumiți să își servească țara fiind „de partea bună a forței”.

Fondatorul LockBit, Dimitri Horocev – sau cel care pretinde că este el – încearcă să se mențină pe picioare. Inițial, el a minimalizat importanța datelor piratate la 7 mai. Și a oferit o recompensă oricărei persoane care îl poate ajuta să își găsească atacatorul.

„Dați informații despre el, cine este – voi plăti dacă este autentic”, a scris el pe site-ul său. Între timp, cele mai bune urări din Praga.