Исследователь по ИБ Брайан Кребс раскрыл способы, как Минюст США пытался деанонимизировать админа LockBit

13 мая 2024 года исследователь по ИБ Брайан Кребс попытался раскрыть способы, с помощью которых Минюст США и другие ведомства пытались деанонимизировать администратора программы-вымогателя LockBit в лице Дмитрия Хорошева из Воронежа.По данным Кребса на основе информации с DomainTools.com и от профильных экспертов:• электронный адрес «sitedev5@yandex[.]ru» использовался для регистрации нескольких доменов, включая бизнес, зарегистрированный на имя Хорошева, под названием «tkaner[.]com», который представляет собой блог об одежде и ткани;• поиск на Constella Intelligence по номеру телефона, указанному в регистрационных документах Tkaner, показал несколько официальных документов, подтверждающих владение номером Дмитрием Юрьевичем Хорошевым;• другой домен, зарегистрированный на этот номер телефона, «stairwell[.]ru», ранее рекламировал деревянные лестницы, однако ныне не функционирует.

В отчётах DomainTools отмечается, что этот домен в течение нескольких лет содержал имя «Dmitrij Ju Horoshev» и электронный адрес «pin@darktower[.]su»;• по данным Constella Intelligence, этот адрес использовался в 2010 году для регистрации аккаунта Дмитрия Юрьевича Хорешева из Воронежа у хостинг-провайдера FirstVDS.

Кроме того, компания Intel 471 обнаружила, что этот же адрес также использовался русскоязычным участником под ником Pin на англоязычном киберпреступном форуме Opensc, где Pin был особенно активен в 2012 году и писал о проблемах шифрования данных и обходе защитных механизмов Windows;• на форуме Antichat участник Pin рекомендовал связываться с ним через ICQ под номером 669316.