Pada hari Selasa, otoritas AS dan Inggris mengungkapkan bahwa dalang di balik LockBit, salah satu kelompok ransomware yang paling produktif dan merugikan dalam sejarah, adalah seorang pria Rusia berusia 31 tahun bernama Dmitry Yuryevich Khoroshev, juga dikenal sebagai “LockbitSupp”.

Seperti biasa dalam pengumuman semacam ini, penegak hukum memublikasikan foto-foto Khoroshev, serta rincian operasi kelompoknya. Departemen Kehakiman AS menuduh Khoroshev atas beberapa kejahatan komputer, penipuan, dan pemerasan. Dan dalam prosesnya, pihak berwajib juga mengungkap beberapa rincian tentang operasi terdahulu LockBit.

Pada awal tahun ini, otoritas menyita infrastruktur LockBit dan bank data para anggotanya, mengungkap rincian kunci tentang bagaimana LockBit bekerja.

Saat ini, kita memiliki lebih banyak rincian tentang apa yang disebut pihak berwajib sebagai “organisasi kejahatan massal yang kadang-kadang menempati peringkat sebagai kelompok ransomware paling produktif dan merusak di dunia.”

Berikut adalah apa yang kita pelajari dari dakwaan Khoroshev.

Khoroshev memiliki julukan kedua: putinkrab

Pemimpin LockBit dikenal secara publik dengan julukan yang tidak terlalu kreatif LockBitSupp. Namun Khoroshev juga memiliki identitas online lain: putinkrab. Dakwaan tidak mencakup informasi tentang nama panggilan online tersebut, meskipun tampaknya mengacu pada Presiden Rusia Vladimir Putin. Di internet, namun, ada beberapa profil menggunakan moniker yang sama di Flickr, YouTube, dan Reddit, meskipun tidak jelas apakah akun-akun ini dioperasikan oleh Khoroshev.

LockBit juga menyerang korban di Rusia

Dalam dunia kejahatan cyber Rusia, menurut para ahli, ada aturan suci yang tidak tertulis: hack setiap orang di luar Rusia, dan pihak berwajib lokal akan membiarkan Anda bergerak bebas. Mengejutkan, menurut pihak berwajib, Khoroshev dan rekan-rekannya “juga menggunakan LockBit melawan beberapa korban Rusia.”

Masih harus dilihat apakah ini berarti pihak berwajib Rusia akan mengejar Khoroshev, tetapi setidaknya sekarang mereka tahu siapa dia.

Khoroshev sangat memperhatikan para afiliasinya

Operasi ransomware seperti LockBit dikenal sebagai ransomware-as-a-service. Artinya ada pengembang yang membuat perangkat lunak dan infrastruktur, seperti Khoroshev, dan kemudian ada afiliasi yang mengoperasikan dan menyebarkan perangkat lunak tersebut, menginfeksi korban, dan memeras tebusan. Menurut pihak berwajib, afiliasi membayar Khoroshev sekitar 20% dari hasil mereka.

Menurut dakwaan, model bisnis ini memungkinkan Khoroshev untuk “memantau secara dekat” afiliasinya, termasuk memiliki akses ke negosiasi korban dan terkadang berpartisipasi di dalamnya. Khoroshev bahkan “menuntut dokumen identifikasi dari Para Bawahan, yang juga dia simpan di infrastrukturnya.” Itu mungkin cara penegak hukum bisa mengidentifikasi beberapa afiliasi Lockbit.

Khoroshev juga mengembangkan alat yang disebut “StealBit” yang melengkapi ransomware utama. Alat ini memungkinkan para afiliasi menyimpan data yang dicuri dari korban di server Khoroshev, dan terkadang mempublikasikannya di situs dark web resmi LockBit.

Pembayaran tebusan LockBit berjumlah sekitar $500 juta

LockBit diluncurkan pada tahun 2020, dan sejak saat itu afiliasinya telah berhasil memeras setidaknya sekitar $500 juta dari sekitar 2.500 korban, yang termasuk “perusahaan multinasional besar hingga bisnis kecil dan individu, serta termasuk rumah sakit, sekolah, organisasi nirlaba, fasilitas infrastruktur kritis, dan badan pemerintah dan penegak hukum.”

Selain dari pembayaran tebusan, LockBit “mengakibatkan kerugian di seluruh dunia yang mencapai miliaran dolar AS,” karena kelompok tersebut mengganggu operasi korban dan memaksa banyak dari mereka untuk membayar layanan tanggapan insiden dan pemulihan, demikian klaim pihak berwajib.

Khoroshev menghubungi otoritas untuk mengidentifikasi beberapa afiliasinya

Mungkin yang paling mengejutkan dari pengungkapan terbaru: Pada bulan Februari, setelah koalisi lembaga penegak hukum global menutup situs web dan infrastruktur LockBit, Khoroshev “berkomunikasi dengan penegak hukum dan menawarkan jasanya sebagai ganti informasi mengenai identitas pesaingnya dalam ransomware-as-a-service.”

Menurut dakwaan, Khoroshev meminta penegak hukum untuk “[b]eritahu saya nama musuh-musuh saya.”