10 листопада Європол оголосив про арешт 33-річного громадянина росії та Канади, Міхаїла Васільєва, за ймовірну участь у глобальній кампанії програми-вимагача LockBit. Це програмне забезпечення-вимагач атакувало критичну інфраструктуру організацій і відомих компаній у всьому світі.
Васільєв перебуває під вартою в Канаді і очікує екстрадиції до США. Міністерство юстиції Сполучених Штатів висунуло Васільєву звинувачення у «змові з метою пошкодження захищених компʼютерів та передачі вимог про викуп». Якщо його визнають винним, йому може загрожувати максимум 5 років увʼязнення.
Національна жандармерія Франції очолила розслідування за допомогою Європейського центру боротьби з кіберзлочинністю Європолу, Канадської королівської кінної поліції і ФБР. Згідно з даними Європолу, оператор LockBit був однією з головних цілей Європолу через його участь у багатьох резонансних справах щодо програм-вимагачів.
Згідно з кримінальною заявою, у будинку Васільєва в Онтаріо було 2 рейди. Перший у серпні 2022 року, а інший у жовтні. Під час першого рейду поліція знайшла скріншоти зашифрованих повідомлень із користувачем на імʼя «LockBitSupp», інструкції щодо розгортання блокування LockBit для Linux/ESXi та вихідний код шкідливого програмного забезпечення. А також конфіденційну інформацію, що належить працівникам підтвердженої жертви LockBit із січня 2022 року.
Під час другого рейду поліція затримала Васільєва ще до того, як він встиг заблокувати свій ноутбук. Це дозволило провести більш ретельний обшук його ноутбука. Слідчі виявили файл під назвою «TARGETLIST», який вважається списком потенційних жертв, і відкриту вкладку браузера під назвою «LockBit LOGIN», розміщену в даркнеті.
За допомогою біткойн-холдингів Васільєва, вдалося підключити його до злочинної схеми. Аналіз блокчейну біткойн-гаманця, знайденого в його домі, показав, що він отримав платіж у розмірі 0.80574055 BTC 5 лютого 2022 року. Слідчі відстежили кошти для цієї транзакції до викупу в розмірі 2.8759 BTC, здійсненого жертвою LockBit.
Цей арешт стався після аналогічної дії в Україні у жовтні 2021 року, коли спільна операція за участю ФБР, французької поліції та української Нацполіції призвела до арешту двох його спільників.
Що таке атаки програми-вимагача LockBit?
Програма-вимагач LockBit – це зловмисне програмне забезпечення, що саморозповсюджується. Воно призначене для блокування доступу користувачів до їхніх комп’ютерних систем за виплату викупу. Хакери використовують це програмне забезпечення-вимагача для цілеспрямованих атак на підприємства та інші організації. Вперше це ПЗ було виявлено у 2020 році. На нього припадає близько 44% усіх кампаній-вимагачів у 2022 році.