О нас
Коллекция
Для исследователей
Волонтёрам
Рассылка
Наш Telegram
Дата
07.05.2024
Автор
The Insider
Источник
The Insider
Сохранённая копия
Internet Archive
Original Material

ФБР обвинило воронежца в создании крупнейшей экосистемы вирусов-вымогателей


ФБР считает, что именно Хорошев создал инфрастуктуру LockBit — панель управления, которой впоследствии пользовались другие злоумышленники. Доступ к панели продавался на хакерских форумах. В общей сложности инфраструктура вымогателей действовала с сентября 2019 года по февраль 2024 года, когда ее ликвидировали правоохранительные органы нескольких стран в рамках совместной операции Cronos.

Следствие насчитало около 2,5 тысяч жертв LockBit по всему миру, из них 1800 — в США. Это не только больницы и госорганы — чаще всего LockBit атаковал компании, которые могли заплатить большой выкуп. Например, в 2023 году группировка зашифровала данные британской почтовой службы (Royal Mail) и компании Boeing. В ноябре 2023 года атака на крупнейший в мире банк (китайский ICBC) нарушила торги облигациями США. В случае, когда жертвы отказывались платить выкуп, украденные у них данные (финансовые, данные сотрудников или информация о производстве) публиковались н​​а сайте, посвященном жертвам хакеров. Всего, по данным ФБР, члены группировки смогли заставить своих жертв заплатить около $500 млн, из которых 20% — около 100 млн — получил лично Хорошев.

Атаки на российские компании

LockBit, как и другие группировки-вымогатели, прочно ассоциируется у исследователей и правоохранительных органов с российскими хакерами. LockBitSupp, общается на русском языке и чаще всего делает это на старейшем русскоязычном хакерском форуме XSS. Компании на территории бывшего СНГ как правило не страдали от атак вымогателей. Во-первых, запрет «работать по СНГ» был прописан в правилах для новых членов группы (так называемых аффилиатов). Во-вторых, в самом коде вируса была прописана проверка языка атакуемой системы. Если это был русский, украинский, грузинский, казахский, армянский, кыргызский, таджикский, туркменский, узбекский или азербайджанский язык — вне зависимости от алфавита — атака на серверы не производилась.

Тем не менее, в обвинительном заключении ФБР указано, что под атаки LockBit всё же попадали и российские компании.

«Хотя Хорошев заявлял о запрете аффилиатам LockBit атаковать жертв, находящихся в России, и сам Хорошев, и другие участники группировки LockBit эксплуатировали “вирусы-шифровальщики“ в отношении нескольких жертв в России», — говорится в заключении.

Какие российские компании попали под атаки LockBit — не сообщается. По всей видимости, о существовании этих атак следствие узнало благодаря изъятию серверов и инфраструктуры LockBit во время операции Cronos.

Кто такой Дмитрий Хорошев

Департамент Юстиции США опубликовал персональные данные россиянина, которого считает основателем LockBit. Как выяснил The Insider, Хорошев живет в Воронеже, ему 31 год, он работал или учился в Воронежском институте высоких технологий. В 2021 году основал ООО «Тканер», которое должно было заниматься розничной торговлей по почте или в интернете. Однако уже через год компанию закрыла налоговая, так как основатель предоставил ей фальшивые сведения о компании. На почту Хорошева также зарегистрирован одноименный сайт о тканях. Также в 2021 году Хорошев основал туристическую компанию «Випгео». Ездит по Воронежу он на Mazda 6 и внедорожнике Mercedes-Benz GLE и живет в обычной новостройке в спальном районе города.