L'identità del leader di uno dei gruppi ransomware più infami nella storia è finalmente stata rivelata.

Il martedì, una coalizione di forze dell'ordine guidata dall'National Crime Agency del Regno Unito ha annunciato che il russo, Dmitry Yuryevich Khoroshev, 31 anni, è la persona dietro lo pseudonimo LockBitSupp, l'amministratore e lo sviluppatore del ransomware LockBit. Il Dipartimento di Giustizia degli Stati Uniti ha anche annunciato l'incriminazione di Khoroshev, accusandolo di crimini informatici, frodi ed estorsioni.

Secondo il DOJ, Khoroshev è di Voronezh, una città della Russia situata a circa 300 miglia a sud di Mosca.

“oggi andiamo oltre, accusando l'individuo che riteniamo abbia sviluppato e amministrato questo malizioso schema informatico, che ha preso di mira oltre 2.000 vittime e rubato più di $100 milioni in pagamenti di ransomware,” ha dichiarato il Procuratore Generale Merrick B. Garland nell'annuncio.

La coalizione delle forze dell'ordine ha annunciato l'identità di LockBitSupp in comunicati stampa, nonché sul sito dark web originale di LockBit, che le autorità hanno sequestrato all'inizio di quest'anno. Sul sito, il Dipartimento di Stato degli Stati Uniti ha annunciato una ricompensa di $10 milioni per informazioni che potrebbero aiutare le autorità ad arrestare e condannare Khoroshev.

Il governo degli Stati Uniti ha anche annunciato sanzioni contro Khoroshev, che, di fatto, impediscono a chiunque di intrattenere transazioni con lui, come le vittime che pagano un riscatto. Sanzionare le persone dietro i ransomware rende più difficile per loro trarre profitto dagli attacchi informatici. Violare le sanzioni, incluso il pagamento a un hacker sanzionato, può comportare pesanti multe e persecuzioni.

LockBit è attivo dal 2020 e, secondo l'agenzia di sicurezza informatica statunitense CISA, il ransomware del gruppo era 'il più impiegato' nel 2022.

Europol, che ha partecipato all'operazione di forze dell'ordine, ha dichiarato in una nota che le autorità dispongono ora di oltre 2.500 chiavi di decrittazione che possono aiutare le vittime a sbloccare i dati precedentemente crittografati dal gruppo.

L'NCA ha pubblicato un'infografica sul sito sequestrato di LockBit, che includeva statistiche sulle attività di LockBit. Secondo i dati, il gruppo ha preso di mira oltre 100 ospedali, aziende sanitarie e strutture, tra cui un ospedale pediatrico. In quel caso, LockBit ha dichiarato che l'attacco era un errore e che avrebbe bloccato il 'partner' responsabile dell'attacco e fornito le chiavi decrittografiche per sbloccare i file. Tuttavia, secondo l'NCA, “quello era un bugia”, poiché il partner è rimasto attivo e le chiavi decrittografiche “non funzionavano correttamente.”

L'NCA, d'altra parte, ha invitato Khoroshev a mettersi in contatto se contesta le loro conclusioni. 'Sei il benvenuto a farlo di persona?' ha dichiarato l'NCA.

La domenica, la coalizione delle forze dell'ordine ha ripristinato il sito dark web sequestrato di LockBit per pubblicare un elenco di post che intendevano anticipare le ultime rivelazioni. A febbraio, le autorità hanno annunciato di aver preso il controllo del sito di LockBit e di aver sostituito i post degli hacker con i propri post, che includevano un comunicato stampa e altre informazioni relative a quello che la coalizione ha definito 'Operazione Cronos.'

Poco dopo, LockBit sembrava fare un ritorno con un nuovo sito e un nuovo elenco di presunte vittime, che venivano aggiornate fino a lunedì, secondo un ricercatore della sicurezza che tiene traccia del gruppo.

Per settimane, il leader di LockBit, noto come LockBitSupp, è stato molto vocale e pubblico nel cercare di sminuire l'operazione delle forze dell'ordine e nel mostrare che LockBit è ancora attivo e prende di mira le vittime. A marzo, LockBitSupp ha rilasciato un'intervista al media The Record in cui affermava che l'Operazione Cronos e le azioni delle forze dell'ordine non 'hanno alcun effetto sul business in alcun modo.'

“Lo considero come ulteriore pubblicità e un'opportunità per mostrare a tutti la forza del mio carattere. Non posso essere intimidito. Quello che non ti uccide ti rende più forte,” ha detto LockBitSupp a The Record.