Obywatel z podwójnym obywatelstwem rosyjskim i izraelskim został oskarżony w Stanach Zjednoczonych o rzekome bycie jednym z głównych twórców operacji ransomware-as-a-service (RaaS) LockBit, która funkcjonowała od około 2019 roku do lutego 2024 roku. Według doniesień Departamentu Sprawiedliwości USA (DoJ), Rostislav Panev, 51-letni deweloper, został zatrzymany w Izraelu w sierpniu 2024 roku i obecnie oczekuje na ekstradycję. Zdaniem śledczych, Panev miał zarobić około 230 tysięcy dolarów w kryptowalutach od czerwca 2022 roku do lutego 2024 roku, realizując projekty na rzecz tej operacji.
„Rostislav Panev przez lata budował i utrzymywał cyfrowe narzędzia, które umożliwiły jego wspólnikom z grupy LockBit sianie chaosu i wyrządzanie miliardowych szkód na całym świecie” – zapewnił prokurator Philip R. Sellinger. Grupa LockBit stała się jedną z najbardziej znanych organizacji ransomware, atakując ponad 2500 podmiotów w co najmniej 120 krajach. W samej tylko Stanach Zjednoczonych doszło do ponad 1800 incydentów, co czyni LockBit jedną z największych sieci przestępczości w świecie cyberbezpieczeństwa.
Rozbicie infrastruktury LockBit i nagromadzone dowody
Operacja LockBit została w lutym 2024 roku rozbita podczas międzynarodowej akcji służb, znanej jako operacja Cronos, której celem była neutralizacja tej przestępczej struktury. Zebrane dowody wskazują, że LockBit atakował szeroką gamę celów – od małych i średnich przedsiębiorstw, przez szpitale i szkoły, aż po organizacje rządowe i krytyczne infrastruktury państwowe. Łączne zyski grupy oszacowano na co najmniej 500 milionów dolarów.
Po zatrzymaniu Paneva, jego komputer został poddany analizie, w wyniku czego odkryto dane administracyjne do panelu kontrolnego LockBit, repozytoriów w ciemnej sieci oraz narzędzia do kradzieży danych o nazwie StealBit. Program ten pozwalał na wykradanie cennych informacji z zainfekowanych urządzeń jeszcze przed uruchomieniem procesu szyfrowania, co dodatkowo zwiększało skuteczność działań przestępców.
Panev został również powiązany z bezpośrednimi rozmowami z Dymitrem Juriewiczem Choroszewem, głównym administratorem grupy działającym pod pseudonimem LockBitSupp. Rozmowy te dotyczyły szczegółów technicznych, takich jak rozwój i utrzymanie narzędzi ransomware oraz panelu administracyjnego używanego przez afiliantów grupy.
Narzędzia przemyślane do najmniejszego szczegółu
W trakcie przesłuchań Panev przyznał, że był odpowiedzialny za tworzenie i utrzymywanie kodu złośliwego oprogramowania dla LockBit oraz że regularnie otrzymywał wynagrodzenie w kryptowalutach za swoją pracę. Potwierdził też, że stworzone przez niego narzędzia pozwalały m.in. na wyłączanie oprogramowania antywirusowego, wdrażanie złośliwego kodu na wielu urządzeniach w ramach jednej organizacji oraz drukowanie notatek z żądaniem okupu na wszystkich podłączonych drukarkach sieciowych ofiar.
LockBit – upadek czy odrodzenie?
Mimo niedawnych aresztowań i rozbicia infrastruktury, LockBit zapowiedział planowany powrót w nowej odsłonie – wydanie wersji ransomware oznaczonej jako LockBit 4.0 przewidziane jest na luty 2025 roku. Pojawia się jednak pytanie, czy organizacja będzie w stanie ponownie odzyskać swoją pozycję, biorąc pod uwagę ostatnie liczne klęski i aresztowania członków grupy.
Inne wyroki w sprawach ransomwaru
Walcząc z narastającą falą cyberprzestępczości, służby całego świata podejmują coraz bardziej zdecydowane kroki. Daniel Christian Hulea, 30-letni Rumun powiązany z operacją NetWalker, został skazany na 20 lat więzienia oraz konfiskatę ponad 21,5 miliona dolarów. NetWalker szczególnie celował w sektor ochrony zdrowia w czasie pandemii COVID-19, co czyniło go jednym z najbardziej bezwzględnych przypadków ransomware w tamtym okresie. Operacja została rozbita w styczniu 2021 roku, a magazyny danych grupy zamknięte dzięki współpracy amerykańsko-bułgarskiej.
Równie istotnym przypadkiem jest skazanie Marka Sokolovsky’ego, 28-latka z Ukrainy, odpowiedzialnego za rozwój narzędzia Raccoon Stealer. Malware ten był oferowany jako usługa dla innych cyberprzestępców, umożliwiając im łatwe kradzieże danych osobowych, które służyły później do oszustw finansowych. Sokolovsky został zatrzymany w Holandii w 2024 roku, a amerykański sąd wymierzył mu karę 5 lat więzienia oraz grzywnę sięgającą niemal miliona dolarów.
W międzyczasie, w Nowym Jorku, Vitalii Antonenko, 32-letni haker związany z wykradaniem danych kart kredytowych, usłyszał wyrok niemal 6 lat więzienia. Antonenko wykorzystał zainfekowane systemy, by kraść dane osobowe, które następnie sprzedawał w darknecie, a zarobione środki prał za pomocą bitcoinów i tradycyjnych metod finansowych.
Wyzwania współczesnego cyberbezpieczeństwa
Ostatnie wydarzenia pokazują, że międzynarodowa walka z cyberprzestępczością nabiera rozpędu. Władze na całym świecie coraz skuteczniej identyfikują i ścigają osoby odpowiedzialne za rozwój i wdrażanie złośliwego oprogramowania. Wciąż jednak pojawiają się nowe zagrożenia, a rozwój technologii takich jak RaaS (Ransomware-as-a-Service) czy MaaS (Malware-as-a-Service) sprawia, że nawet osoby bez specjalistycznej wiedzy mogą stać się uczestnikami międzynarodowych sieci cyberprzestępczości. Skuteczność tych grup hakerskich w dużej mierze opiera się na anonimowości transakcji oraz wykorzystywaniu nielegalnych rynków w darknecie.
Przyszłość cyberodporności
Rozbicie grup takich jak LockBit czy NetWalker oraz zatrzymania ich kluczowych członków stanowią krok w dobrym kierunku, ale pokazują również ogrom pracy, jaka pozostaje do wykonania, aby zapewnić bezpieczeństwo globalnej infrastrukturze cyfrowej. Wzmocnienie współpracy międzynarodowej, rozwój systemów śledczych w zakresie kryptowalut oraz powszechne promowanie edukacji o cyberzagrożeniach to kluczowe elementy walki z tym problemem. Wszystko wskazuje na to, że tylko konsekwentne działania mogą powstrzymać kolejnych cyberprzestępców przed ponownym zdominowaniem przestrzeni internetowej.