Le ministère américain de la Justice a inculpé un binational russo-israélien pour son rôle présumé dans le développement de logiciels malveillants et la gestion de l’infrastructure du tristement célèbre groupe de ransomwares LockBit.
Selon une plainte pénale descellée aujourd’hui dans le district du New Jersey, Rostislav Panev, 51 ans, double ressortissant russe et israélien, aurait aidé à développer des chiffreurs de ransomware LockBit et un outil de vol de données personnalisé « StealBit » couramment utilisé dans les attaques.
Panev a été arrêté en Israël en août, où il attend une demande d’extradition en instance des États-Unis. Le site d’information israélien Ynet a d’abord rapporté l’arrestation.
La plainte pénale allègue que les forces de l’ordre israéliennes ont trouvé des informations d’identification sur son ordinateur vers un référentiel en ligne contenant le code source des chiffreurs LockBit et de l’outil StealBit.
« Comme allégué dans la plainte de remplacement, au moment de l’arrestation de Panev en Israël en août, les forces de l’ordre ont découvert sur les informations d’identification de l’administrateur informatique de Panev un référentiel en ligne hébergé sur le dark Web et stocké le code source de plusieurs versions du LockBit Builder, ce qui a permis aux affiliés de LockBit de générer des versions personnalisées du malware LockBit ransomware pour des victimes particulières », lit-on dans la plainte.
« Sur ce référentiel, les forces de l’ordre ont également découvert le code source de l’outil StealBit de LockBit, qui a aidé les affiliés de LockBit à exfiltrer les données volées lors d’attaques de LockBit. Les forces de l’ordre ont également découvert des informations d’identification d’accès pour le panneau de configuration LockBit, un tableau de bord en ligne géré par les développeurs LockBit pour les affiliés de LockBit et hébergé par ces développeurs sur le dark Web. »
Les dépôts contenaient également le code source des chiffreurs du ransomware Conti, qui a été divulgué par un chercheur ukrainien après que Conti se soit rangé du côté de la Russie pour l’invasion de l’Ukraine.
On pense que ce code source a été utilisé pour aider à créer le chiffreur « LockBit Green », qui était basé sur le chiffreur de Conti.
La plainte indique également que Panev a utilisé la fonction de messagerie privée d’un forum de piratage pour communiquer avec l’opérateur principal de LockBit, LockBitSupp, maintenant identifié comme Dmitry Yuryevich Khoroshev. Ces messages devaient discuter du travail qui devait être codé sur le générateur de bits de verrouillage et le panneau de commande de l’opération.
Pour son travail avec le gang de ransomwares LockBit, Panev aurait gagné environ 230 000 dollars sur 18 mois.
« Des documents judiciaires indiquent en outre qu’entre juin 2022 et février 2024, l’administrateur principal de LockBit a effectué une série de transferts de crypto-monnaie, blanchis via un ou plusieurs services illicites de mélange de crypto-monnaie, d’environ 10 000 dollars par mois vers un portefeuille de crypto-monnaie appartenant à Panev », a allégué l’annonce du DOJ.
« Ces transferts se sont élevés à plus de 230 000 $au cours de cette période. »
Lors d’entretiens avec la police israélienne après son arrestation, Panev aurait admis avoir effectué un travail de programmation pour le ransomware LockBit et avoir reçu une compensation pour son temps.
Si Panev est extradé vers les États-Unis, il sera jugé dans le district du New Jersey.
Perturber le verrou
Panev est le septième membre d’un gang de ransomwares LockBit inculpé depuis 2023, les forces de l’ordre internationales se concentrant fortement sur la perturbation de l’opération.
En 2023, le département américain de la Justice a inculpé un citoyen russe nommé Mikhail Pavlovich Matveev (également connu sous les noms de Wazawaka, Uhodiransomwar, m1x et Boriselcin) pour son implication dans les opérations de ransomware Hive, LockBit et Babuk.
En février 2024, les forces de l’ordre de 10 pays ont perturbé l’opération de ransomware LockBit dans le cadre d’une opération conjointe appelée « Opération Cronos. »Au cours de cette opération, les forces de l’ordre ont piraté l’infrastructure de LockBit pour voler des données, des listes d’affiliés et plus de 7 000 clés de déchiffrement.
Ces clés de déchiffrement ont permis aux entreprises du monde entier de récupérer leurs données gratuitement sans payer de rançon.
Le même mois, les États-Unis ont inculpé deux ressortissants russes, Artur Sungatov et Ivan Gennadievich Kondratiev (alias Bassterlord), pour leur implication dans des attaques de LockBit.
En mai 2024, les États-Unis ont accusé, sanctionné et révélé que l’opérateur du ransomware LockBit était prétendument un ressortissant russe nommé Dmitry Yuryevich Khoroshev, alias « LockBitSupp » et « putinkrab ».
En juillet, le ressortissant russe Ruslan Magomedovich Astamirov et le ressortissant canadien/russe Mikhail Vasiliev ont plaidé coupables d’être affiliés à l’opération de ransomware LockBit et d’avoir mené de nombreuses attaques.
Le programme de récompenses pour la justice du Département d’État américain offre actuellement une récompense de 10 millions de dollars pour les informations menant à l’arrestation de Khoroshev, ainsi que jusqu’à 10 millions de dollars pour l’arrestation d’autres membres du gang de ransomwares LockBit.