Các thành viên của nhóm tin tặc LockBit và Evil Corp bị trừng phạt

10:15, 16/10/2024

Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.

Cơ quan Cảnh sát Liên minh châu Âu (Europol) cho biết trong một tuyên bố mới đây rằng, hành động này bao gồm việc bắt giữ một nhà phát triển LockBit bị tình nghi tại Pháp, hai cá nhân ở Anh bị cáo buộc hỗ trợ một chi nhánh và một quản trị viên của dịch vụ lưu trữ Bulletproof hosting tại Tây Ban Nha được nhóm tin tặc này sử dụng.

Cùng với đó, các cơ quan thực thi pháp luật đã vạch trần công dân Nga tên là Aleksandr Ryzhenkov (còn gọi là Beverley, Corbyn_Dallas, G, Guester và Kotosel), đây là một trong những thành viên cấp cao của nhóm tin tặc Evil Corp, đồng thời xác định anh ta là một phần của nhóm LockBit. Các biện pháp trừng phạt cũng đã được công bố đối với 7 cá nhân và 2 thực thể có liên quan đến băng nhóm tội phạm mạng này.

“Mỹ phối hợp chặt chẽ với các đồng minh và đối tác, bao gồm thông qua Sáng kiến ​​chống mã độc tống tiền, sẽ tiếp tục vạch trần và phá vỡ các mạng lưới tội phạm mạng tìm kiếm lợi nhuận cá nhân từ các nạn nhân”, Quyền Thứ trưởng Bộ Tài chính Mỹ, Bradley T. Smith cho biết.

Hành động truy quét này là một phần của chiến dịch Cronos, diễn ra gần 8 tháng sau khi cơ sở hạ tầng trực tuyến của LockBit bị thu hồi và sau các lệnh trừng phạt đối với Dmitry Yuryevich Khoroshev, người được biết là quản trị viên và cá nhân đứng sau nhân vật “LockBitSupp”.

Tổng cộng có 16 cá nhân thuộc nhóm tin tặc Evil Corp đã bị Vương quốc Anh trừng phạt. Còn được gọi là Gold Drake và Indrik Spider, nhóm tin tặc khét tiếng này đã hoạt động từ năm 2014, nhắm vào các ngân hàng và tổ chức tài chính với mục tiêu cuối cùng là đánh cắp thông tin đăng nhập và thông tin tài chính của người dùng để tạo điều kiện cho việc chuyển tiền trái phép.

Evil Corp chịu trách nhiệm phát triển và phân phối phần mềm độc hại Dridex (hay còn gọi là Bugat), trước đây đã bị phát hiện triển khai LockBit và các loại mã độc tống tiền khác vào năm 2022, để lách lệnh trừng phạt áp dụng đối với nhóm này vào tháng 12/2019, bao gồm các thành viên chủ chốt là Maksim Yakubets và Igor Turashev.

Cơ quan Phòng chống Tội phạm Quốc gia Vương quốc Anh (NCA) mô tả Ryzhenkov là “cánh tay phải” của Yakubets, trong khi Bộ Tư pháp Mỹ (DoJ) cáo buộc anh ta triển khai phần mềm tống tiền BitPaymer để nhắm vào các nạn nhân trên khắp nước Mỹ kể từ tháng 6/2017.

Ryzhenkov đã sử dụng tên liên kết Beverley, tạo ra hơn 60 bản dựng mã độc tống tiền LockBit và tìm cách tống tiền ít nhất 100 triệu USD từ các nạn nhân để đòi tiền chuộc. Ryzhenkov cũng có liên quan đến bí danh “mx1r”.

Ngoài ra, theo công ty an ninh mạng Crowdstrike (Mỹ), anh trai của Ryzhenkov là Sergey Ryzhenkov, người được cho là sử dụng bí danh trực tuyến là “Epoch”, có liên quan đến BitPaymer.

Trong suốt năm 2024, Indrik Spider đã có được quyền truy cập ban đầu vào nhiều thực thể thông qua dịch vụ phân phối phần mềm độc hại Fake Browser Update (FBU).Cơ quan Cảnh sát Liên minh châu Âu (Europol) cho biết trong một tuyên bố mới đây rằng, hành động này bao gồm việc bắt giữ một nhà phát triển LockBit bị tình nghi tại Pháp, hai cá nhân ở Anh bị cáo buộc hỗ trợ một chi nhánh và một quản trị viên của dịch vụ lưu trữ Bulletproof hosting tại Tây Ban Nha được nhóm tin tặc này sử dụng.

Cùng với đó, các cơ quan thực thi pháp luật đã vạch trần công dân Nga tên là Aleksandr Ryzhenkov (còn gọi là Beverley, Corbyn_Dallas, G, Guester và Kotosel), đây là một trong những thành viên cấp cao của nhóm tin tặc Evil Corp, đồng thời xác định anh ta là một phần của nhóm LockBit. Các biện pháp trừng phạt cũng đã được công bố đối với 7 cá nhân và 2 thực thể có liên quan đến băng nhóm tội phạm mạng này.

“Mỹ phối hợp chặt chẽ với các đồng minh và đối tác, bao gồm thông qua Sáng kiến ​​chống mã độc tống tiền, sẽ tiếp tục vạch trần và phá vỡ các mạng lưới tội phạm mạng tìm kiếm lợi nhuận cá nhân từ các nạn nhân”, Quyền Thứ trưởng Bộ Tài chính Mỹ, Bradley T. Smith cho biết.

Hành động truy quét này là một phần của chiến dịch Cronos, diễn ra gần 8 tháng sau khi cơ sở hạ tầng trực tuyến của LockBit bị thu hồi và sau các lệnh trừng phạt đối với Dmitry Yuryevich Khoroshev, người được biết là quản trị viên và cá nhân đứng sau nhân vật “LockBitSupp”.

Tổng cộng có 16 cá nhân thuộc nhóm tin tặc Evil Corp đã bị Vương quốc Anh trừng phạt. Còn được gọi là Gold Drake và Indrik Spider, nhóm tin tặc khét tiếng này đã hoạt động từ năm 2014, nhắm vào các ngân hàng và tổ chức tài chính với mục tiêu cuối cùng là đánh cắp thông tin đăng nhập và thông tin tài chính của người dùng để tạo điều kiện cho việc chuyển tiền trái phép.

Evil Corp chịu trách nhiệm phát triển và phân phối phần mềm độc hại Dridex (hay còn gọi là Bugat), trước đây đã bị phát hiện triển khai LockBit và các loại mã độc tống tiền khác vào năm 2022, để lách lệnh trừng phạt áp dụng đối với nhóm này vào tháng 12/2019, bao gồm các thành viên chủ chốt là Maksim Yakubets và Igor Turashev.

Cơ quan Phòng chống Tội phạm Quốc gia Vương quốc Anh (NCA) mô tả Ryzhenkov là “cánh tay phải” của Yakubets, trong khi Bộ Tư pháp Mỹ (DoJ) cáo buộc anh ta triển khai phần mềm tống tiền BitPaymer để nhắm vào các nạn nhân trên khắp nước Mỹ kể từ tháng 6/2017.

Ryzhenkov đã sử dụng tên liên kết Beverley, tạo ra hơn 60 bản dựng mã độc tống tiền LockBit và tìm cách tống tiền ít nhất 100 triệu USD từ các nạn nhân để đòi tiền chuộc. Ryzhenkov cũng có liên quan đến bí danh “mx1r”.

Ngoài ra, theo công ty an ninh mạng Crowdstrike (Mỹ), anh trai của Ryzhenkov là Sergey Ryzhenkov, người được cho là sử dụng bí danh trực tuyến là “Epoch”, có liên quan đến BitPaymer.

Trong suốt năm 2024, Indrik Spider đã có được quyền truy cập ban đầu vào nhiều thực thể thông qua dịch vụ phân phối phần mềm độc hại Fake Browser Update (FBU).