Dmitry Yuryevich Khoroshev accusato di essere il leader del famigerato gruppo ransomware LockBit

4
Minute Read

La scorsa settimana, gli Stati Uniti si sono uniti al Regno Unito e all’Australia per sanzionare e accusare un uomo russo di nome Dmitry Yuryevich Khoroshev come leader del famigerato gruppo ransomware LockBit.

Il 7 maggio, il Dipartimento di Giustizia degli Stati Uniti ha incriminato Khoroshev per 26 capi d’accusa, tra cui estorsione, frode telematica e cospirazione. Il governo sostiene che Khoroshev ha creato, venduto e utilizzato il ceppo di ransomware LockBit per estorcere personalmente più di 100 milioni di dollari a centinaia di organizzazioni vittime e che LockBit come gruppo ha estorto circa mezzo miliardo di dollari in quattro anni. Gli investigatori federali affermano che Khoroshev gestiva LockBit come un’operazione “ransomware-as-a-service”, in cui tratteneva il 20% di ogni riscatto pagato da un’organizzazione vittima infettata con il suo codice, mentre il restante 80% del pagamento andava agli affiliati di LockBit responsabili della diffusione del malware.

Le sanzioni finanziarie imposte a Khoroshev dal Dipartimento del Tesoro degli Stati Uniti hanno elencato il suo indirizzo e-mail noto, il numero di passaporto e persino il suo codice fiscale. Il dossier del Tesoro afferma che Khoroshev ha utilizzato gli indirizzi e-mail sitedev5@yandex.ru e khoroshev1@icloud.com. Secondo DomainTools.com, l’indirizzo sitedev5@yandex.ru è stato utilizzato per registrare almeno sei domini, tra cui un’azienda russa registrata a nome di Khoroshev chiamata tkaner.com, che è un blog su abbigliamento e tessuti. Una ricerca presso il servizio di breach-tracking Constella Intelligence sul numero di telefono presente nei registri di registrazione di Tkaner – 7.9521020220 – porta a diversi documenti ufficiali del governo russo che elencano il proprietario del numero come Dmitri Yurievich Khoroshev.

Un altro dominio registrato a quel numero di telefono era stairwell[.]ru, che a un certo punto pubblicizzava la vendita di scale in legno. Constella rileva che gli indirizzi e-mail webmaster@stairwell.ru e admin@stairwell.ru utilizzavano la password 225948. DomainTools riporta che stairwell.ru per diversi anni ha incluso il nome del registrante come “Dmitrij Ju Horoshev”, e l’indirizzo e-mail pin@darktower.su. Secondo Constella, questo indirizzo e-mail è stato utilizzato nel 2010 per registrare un account per un certo Dmitry Yurievich Khoroshev di Voronezh, Russia, presso il provider di hosting firstvds.ru. La società di cyber intelligence Intel 471 ha scoperto che pin@darktower.ru è stato utilizzato da un membro di lingua russa chiamato Pin sul forum di criminalità informatica in lingua inglese Opensc. Pin è stato attivo su Opensc intorno a marzo 2012 ed è stato autore di 13 post che riguardavano per lo più problemi di crittografia dei dati o la correzione di bug nel codice. Altri post riguardavano il codice personalizzato che Pin sosteneva di aver scritto per aggirare le protezioni della memoria sui sistemi Windows XP e Windows 7 e iniettare malware nello spazio di memoria normalmente assegnato alle applicazioni affidabili su un computer Windows. Nello stesso periodo Pin era attivo anche sul forum di sicurezza in lingua russa Antichat, dove diceva ai membri del forum di contattarlo al numero di messaggeria istantanea ICQ 669316. Una ricerca sul numero ICQ 669316 presso Intel 471 mostra che nell’aprile 2011 un utente di nome NeroWolfe si è iscritto al forum russo di criminalità informatica Zloy utilizzando l’indirizzo e-mail d.horoshev@gmail.com e da un indirizzo Internet di Voronezh, RU.

Constella ha scoperto che la stessa password legata a webmaster@stairwell.ru (225948) è stata utilizzata dall’indirizzo e-mail 3k@xakep.ru, che secondo Intel 471 è stato registrato su più di una dozzina di account di NeroWolfe in altrettanti forum di criminalità informatica russi tra il 2011 e il 2015.

L’analisi di questa investigazione può fornire preziose informazioni sulle modalità operative e i modelli comportamentali dei criminali informatici, contribuendo così a migliorare le strategie di difesa e le contromisure necessarie, è evidente che serva un’un’approfondita analisi forense digitale, una stretta cooperazione internazionale e un’azione legale mirata per affrontare efficacemente la minaccia rappresentata da gruppi criminali informatici come LockBit.

@ RIPRODUZIONE RISERVATA

China-Linked CeranaKeeper Targeting Southeast Asia with Data Exfiltration

Fake Job Applications Deliver Dangerous More_eggs Malware to HR Professionals

Alert: Over 700,000 DrayTek Routers Exposed to Hacking via 14 New Vulnerabilities

Alert: Adobe Commerce and Magento Stores Under Attack from CosmicSting Exploit

5 Must-Have Tools for Effective Dynamic Malware Analysis

Researchers Sound Alarm on Active Attacks Exploiting Critical Zimbra Postjournal Flaw

AI-Powered Rhadamanthys Stealer Targets Crypto Wallets with Image Recognition

CISA Kicks Off 21st Anniversary of Cybersecurity Awareness Month

5 Actionable Steps to Prevent GenAI Data Leaks Without Fully Blocking AI Usage

Free Sniper Dz Phishing Tools Fuel 140,000+ Cyber Attacks Targeting User Credentials

New Cryptojacking Attack Targets Docker API to Create Malicious Swarm Botnet

U.K. Hacker Charged in $3.75 Million Insider Trading Scheme Using Hacked Executive Emails

THN Cybersecurity Recap: Last Week’s Top Threats and Trends (September 23-29)

Critical Flaws in Tank Gauge Systems Expose Gas Stations to Remote Attacks

Applicazioni Android: minacce e strategie di difesa
L’impatto dell’Intelligenza Artificiale generativa nell’area EMEA


Home

Cyber Trolling eBook 2023
ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Analisi comportamentale

Cybersecurity

Intelligenza Artificiale

News

ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Cookie Policy - Terms and Conditions - Privacy Policy