Warga negara Rusia dan Kanada ganda yang terkait dengan operasi ransomware LockBit telah ditangkap atas dugaan keterlibatannya dalam serangan yang menargetkan infrastruktur penting dan kelompok industri besar di seluruh dunia.

Mikhail Vasiliev, 33, ditangkap di Ontario, Kanada pada 26 Oktober menyusul penyelidikan yang dipimpin oleh Gendarmerie Nasional Prancis dengan bantuan Pusat Kejahatan Dunia Maya Eropa Europol, FBI, dan Polisi Berkuda Kerajaan Kanada Kanada. Selama penangkapan, polisi menyita delapan komputer, 32 hard drive eksternal dan €400.000 dalam cryptocurrency, kata Europol.

Penangkapan itu mengikuti tindakan serupa di Ukraina pada Oktober tahun lalu ketika operasi penegakan hukum bersama internasional menyebabkan penangkapan dua kaki tangannya.

Europol mengatakan Vasiliev, digambarkan sebagai “salah satu operator ransomware paling produktif di dunia,” adalah salah satu target bernilai tinggi karena keterlibatannya dalam banyak kasus ransomware profil tinggi. Badan kepolisian Uni Eropa menambahkan bahwa dia dikenal mencoba memeras korban dengan tuntutan uang tebusan antara €5 hingga €70 juta.

Siaran pers terpisah dari Departemen Kehakiman mencatat bahwa LockBit telah mengklaim setidaknya 1.000 korban di Amerika Serikat dan telah menarik puluhan juta dolar dalam pembayaran uang tebusan sebenarnya dari para korban mereka.

Vasiliev sedang menunggu ekstradisi ke Amerika Serikat, di mana dia dituduh berkonspirasi untuk secara sengaja merusak komputer yang dilindungi dan mengirimkan tuntutan tebusan. Jika terbukti bersalah, Vasiliev menghadapi hukuman maksimal lima tahun penjara.

“Penangkapan yang berhasil kemarin menunjukkan kemampuan kami untuk mempertahankan dan menerapkan tekanan tanpa henti terhadap musuh kami,” kata Wakil Direktur FBI Paul Abbate. “Upaya investigasi gigih FBI, bekerja sama erat dengan mitra federal dan internasional kami, menggambarkan komitmen kami untuk menggunakan semua sumber daya kami untuk memastikan kami melindungi publik Amerika dari aktor ancaman dunia maya global ini.”

Brett Callow, pakar ransomware dan analis ancaman di Emisosft, memberi tahu TechCrunch bahwa penangkapan Vasiliev dapat menandakan akhir dari operasi LockBit “karena penjahat dunia maya lainnya akan kehilangan kepercayaan pada integritas operasi.

“Sayangnya, grup tersebut mungkin akan mengubah citra, tetapi ini tetap merupakan penangkapan yang signifikan,” tambah Callow. “Vasiliev dapat memimpin penegakan hukum kepada orang lain yang terlibat dalam operasi tersebut.”

Korban khusus yang ditargetkan oleh tersangka operator LockBit tidak disebutkan oleh Europol. Namun, keterlibatan Prancis dalam operasi tersebut menunjukkan bahwa Vasiliev dapat dikaitkan dengan serangan baru-baru ini terhadap grup pertahanan dan kedirgantaraan Prancis Thales.

LockBit, operasi ransomware terkemuka yang sebelumnya mengklaim serangan terhadap produsen teknologi Foxconn, vendor layanan kesehatan Inggris Advanced dan raksasa IT Accenture, menambahkan Thales ke situs kebocorannya pada 31 Oktober. Grup tersebut mengklaim telah menerbitkan data yang dicuri dari perusahaan hari ini, yang mana hari ini digambarkan sebagai “sangat sensitif” dan “berisiko tinggi”. Isi dari kebocoran data termasuk dokumen komersial, file akuntansi dan file pelanggan, menurut LockBit, meskipun file tersebut belum dipublikasikan pada saat publikasi.

“Sejauh menyangkut pelanggan, Anda dapat mendekati organisasi terkait untuk mempertimbangkan mengambil tindakan hukum terhadap perusahaan ini yang telah sangat mengabaikan aturan kerahasiaan,” bunyi pesan di situs kebocoran LockBit.

Dalam sebuah pernyataan yang diberikan kepada TechCrunch, juru bicara Thales Marion Bonnet mengatakan perusahaan tersebut “mengetahui dugaan pencurian data oleh LockBit 3.0” tetapi menambahkan bahwa mereka belum menerima pemberitahuan tebusan langsung. “Kami dengan hati-hati memantau setiap dugaan terkait pencurian data,” tambah Bonnet. “Tim pakar keamanan yang berdedikasi secara sistematis menyelidiki jenis situasi ini karena keamanan data tetap menjadi prioritas utama kami.”

LockBit juga mengklaim hari ini telah membocorkan 40 terabyte data yang dicuri dari raksasa otomotif Jerman Continental, dan sampel data menunjukkan bahwa geng tersebut telah mengakses dokumen teknis dan kode sumber. Meskipun permintaan tebusan tidak dinyatakan secara eksplisit, halaman bocoran geng ransomware mengklaim menawarkan akses ke tahap penuh data yang dicuri seharga $50 juta.

Juru bicara Continental Marc Siedler mengatakan kepada TechCrunch bahwa penyelidikan perusahaan atas insiden tersebut telah mengungkapkan bahwa “penyerang juga dapat mencuri beberapa data dari sistem TI yang terpengaruh,” tetapi menolak untuk mengatakan jenis data apa yang telah dicuri atau berapa banyak pelanggan dan karyawan yang telah dicuri. terpengaruh.

Diperbarui pada 11 November dengan komentar dari Thales.