Pada hari Selasa, pihak berwenang AS dan Inggris mengungkapkan bahwa dalang di balik LockBit, salah satu kelompok ransomware paling produktif dan merusak dalam sejarah, adalah seorang Rusia berusia 31 tahun bernama Dmitry Yuryevich Khoroshev, alias “LockbitSupp.”
Seperti biasa dalam pengumuman seperti ini, penegak hukum menerbitkan foto-foto Khoroshev, serta rincian operasi kelompoknya. Departemen Kehakiman AS dibebankan Khoroshev dengan beberapa kejahatan komputer, penipuan, dan pemerasan. Dan dalam prosesnya, FBI juga mengungkapkan beberapa rincian tentang operasi LockBit di masa lalu.
Awal tahun ini, pihak berwenang menyita infrastruktur LockBit dan kumpulan data geng tersebut, sehingga mengungkap rincian penting tentang cara kerja LockBit.
Saat ini, kami memiliki rincian lebih lanjut tentang apa yang disebut FBI sebagai “organisasi kriminal besar yang, terkadang, menduduki peringkat sebagai kelompok ransomware paling produktif dan destruktif di dunia.”
Inilah yang telah kami pelajari dakwaan Khoroshev.
Khoroshev memiliki nama panggilan kedua: putinkrab
Pemimpin LockBit dikenal publik dengan julukan LockBitSupp yang tidak terlalu imajinatif. Namun Khoroshev juga memiliki identitas online lainnya: putinkrab. Dakwaan tersebut tidak memuat informasi apa pun mengenai akun online tersebut, meskipun tampaknya merujuk pada Presiden Rusia Vladimir Putin. Namun, di internet, beberapa profil menggunakan moniker yang sama Flickr, YoutubeDan redditmeskipun tidak jelas apakah akun tersebut dijalankan oleh Khoroshev.
LockBit juga menyerang korban di Rusia
Dalam dunia kejahatan dunia maya Rusia, menurut para ahli, terdapat aturan sakral dan tidak tertulis: retas siapa pun di luar Rusia, dan otoritas setempat tidak akan mengganggu Anda. Yang mengejutkan, menurut FBI, Khoroshev dan rekan konspiratornya “juga menerapkan LockBit terhadap banyak korban Rusia.”
Masih harus dilihat apakah ini berarti pihak berwenang Rusia akan mengejar Khoroshev, tapi setidaknya sekarang mereka tahu siapa dia.
Khoroshev terus mengawasi afiliasinya
Operasi Ransomware seperti LockBit dikenal sebagai ransomware-as-a-service. Artinya ada pengembang yang membuat perangkat lunak dan infrastrukturnya, seperti Khoroshev, lalu ada afiliasi yang mengoperasikan dan menyebarkan perangkat lunak tersebut, menginfeksi korban, dan memeras uang tebusan. Afiliasi membayar Khoroshev sekitar 20% dari proses mereka, klaim FBI.
Menurut dakwaan, model bisnis ini memungkinkan Khoroshev untuk “memantau secara dekat” afiliasinya, termasuk memiliki akses ke negosiasi korban dan terkadang berpartisipasi di dalamnya. Khoroshev bahkan “meminta dokumen identifikasi dari afiliasinya, Coconspirator, yang juga dia simpan di infrastrukturnya.” Mungkin begitulah cara penegak hukum dapat mengidentifikasi beberapa afiliasi Lockbit.
Khoroshev juga mengembangkan alat yang disebut “StealBit” yang melengkapi ransomware utama. Alat ini memungkinkan afiliasi untuk menyimpan data yang dicuri dari korban di server Khoroshev, dan terkadang mempublikasikannya di situs kebocoran web gelap resmi LockBit.
Pembayaran ransomware LockBit berjumlah sekitar $500 juta
LockBit diluncurkan pada tahun 2020, dan sejak itu afiliasinya telah berhasil memeras setidaknya sekitar $500 juta dari sekitar 2.500 korban, termasuk “perusahaan multinasional besar hingga usaha kecil dan individu, termasuk rumah sakit, sekolah, organisasi nirlaba, fasilitas infrastruktur penting, dan lembaga pemerintah dan penegak hukum.”
Selain pembayaran uang tebusan, LockBit “menyebabkan kerusakan di seluruh dunia sebesar miliaran dolar AS,” karena geng tersebut mengganggu operasi para korban dan memaksa banyak orang untuk membayar layanan tanggap insiden dan pemulihan, klaim FBI.
Khoroshev menghubungi pihak berwenang untuk mengidentifikasi beberapa afiliasinya
Mungkin pengungkapan terbaru yang paling mengejutkan: Pada bulan Februari, setelah koalisi lembaga penegak hukum global menghapus situs web dan infrastruktur LockBit, Khoroshev “berkomunikasi dengan penegak hukum dan menawarkan jasanya dengan imbalan informasi mengenai identitas rekannya. [ransomware-as-a-service] pesaing.”
Berdasarkan dakwaan, Khoroshev meminta penegak hukum untuk “[g]beri aku nama-nama musuhku.”
