Der König der Datendiebe
Vom Jäger zum Gejagten: Was Leak Daten über denjenigen erzählen, der es sich zum Ziel machte, von anderen Daten zu stehlen.
Dmitry Khoroshev ist zwar erst 31, soll aber schon mindestens 100 Millionen USD auf seinem Kryptokonto sitzen haben. Als “LockBit” soll er alles ergaunert haben, was er bekommen konnte. Auch mit Hackerangriffen auf Krankenhäuser. Das Profil des jungen Mannes will aber nicht so richtig ins Bild passen, wie sich das Gericht in Amerika das vorstellt. Zur Anklage aus den USA stellen sich Fragen, die die Personalie so nicht beantwortet. Was man mit offenen Daten bestätigen kann und was nicht (#OSINT Analyse).
Ein Datingprofil, das nicht unscheinbarer wirken könnte: ein junger Mann um die 30. Sein Profilbild, ein Selfie, nachts auf einer beleuchteten Straße Russlands. Name “Herr Andrey”. Der Mann trägt Kopfhörern und einen Hoodie. Irgendwie wirkt er desinteressiert. Aber er möchte Frauen kennenlernen. 18 bis 50, also alles, was nicht bei drei auf dem Baum ist. “Suche Sex“ steht da.
Der junge Mann heißt aber gar nicht Andrey. Eigentlich heißt er Dmitry Yuryevich Khoroshev. Es ist ein falsches Datingprofil von vor einiger Zeit. Khoroshev wird nun öffentlich vorgeworfen, er soll im Wert von hunderten Millionen USD in Bitcoin von westlichen Firmen gestohlen haben. Und zwar mit Ransomware Betrugsgeschäfte.
Sicherheitshalber gibt Andrey im Datingprofil ein „stabiles Durchschnittseinkommen“ an. Er will keine Aufmerksamkeit mit seinem Erfolg. Keine Frau, die nur sein Geld will. Hinzukommt, dass sich das ergaunerte Geld nur schwer in harte Währung, wie in ein teuren Urlaub, umwandeln lässt.
Khoroshev soll der Ransomware König sein, Leiter und Kingpin der Gruppe Lockbit, mit dem Alias Lockbitsupp. So soll er maßgeblich als Anführer einer der gefürchteten Ransomware Hackergruppen gelten. Über 2000 bis 2500 (Stand 7.Mai) Opfer, also größtenteils private Firmen, soll Lockbit gehackt haben.
Zwischen $120 und $500 Million in Ransom Zahlungen soll LockBit erbeutet haben. Nach Daten und Links von Privtools, einer Seite die Ransomware Hacks katalogisiert, gab es mindestens 42 “.de” Domains die Lockbit gehackt und erpresst haben soll. Darunter sind namhafte deutsche Mittelständler sowie große Unternehmen. Auch dabei: die Deutsche Telekom. Der führende Telekommunikationsanbieter auf dem deutschen Markt soll eine Frist bis zum 21. Mai gesetzt bekommen haben. Ein nicht-veröffentliche Summe soll bezahlt werden, um zu verhindern, dass die gehackten Daten ins Internet gespielt werden. Ein Sprecher des Konzerns streitet das ab. Es handle sich lediglich um Gerüchte.
Wer ist Khoroshev?
Die Anklage des US Gerichts, die erklärt, dass der in den Staaten angeklagte Russe seit 2019 Lockbit sein soll. Eine weitere Publikation der amerikanischen Behörden, eine sogenannte Cyber-related Designation, nennen mehrere Schlüsselinformationen und Eckdaten aus dem Netz. Sie ermöglichen eine erste Onlinesuche und Verifikation. Geboren wurde der nun 31-Jährige am 17. April 1993. Voller Name ist DMITRY YURYEVICH KHOROSHEV, in kyrillisch Дмитрий Юрьевич Хорошев. Mit dem Alias Lockbitsupp, Putinkrab sowie seine Steuernummer (366110340670) soll dem jungen Hacker ein Strich durch die Rechnung gemacht werden.
Es ist unwahrscheinlich, dass die US-Behörden den in Russland-lebenden Mann jemals in die Finger bekommen. Da das US-Gericht jetzt aber den Hacker offen zur Schau stellt, kommt die Frage auf: Wissen so nicht auch die russischen Steuerbehörden bescheid?
Im privaten würde so etwas als Doxxing gelten. Die US-Behörden sind sich angeblich sicher , dass ihre Beweise handfest sind. Und genau da scheiden sich die Geister. Denn einige, die sich in der Szene auskenne, haben Zweifel dass Lockbit gleich KHOROSHEV ist.
Folgende E-Mail-Adressen werden in den US Daten genannt: khoroshev1@icloud.com und sitedev5@yandex.ru.
Eine Bitcoin Adresse wird genannt: bc1qvhnfknw852ephxyc5hm4q520zmvf9maphetc9z
Khoroshev Pass ID Nummern, er hat zwei 2018278055 (Russland) 2006801524 (Russland).
Wo ist zu Hause, wo die Arbeit, wo das “Hackerbüro”?
Wir starten mit den einfachsten Informationen. Russland hat ein überschaubares System an Personeninformationen, die über die Steuernummer im Netz abgerufen werden können (der sogenannte ИНН Nummer). Hat man eine Steuernummer einer Person, kennt man Wohnort, Unternehmen, die geleitet oder gegründet worden. Bei einem Entrepreneur gibt die Steuernummer einiges preis. Eine Yandex Suche nach Khoroshev Steuernummer aus den Aktion bestätigt Khoroshev Wohnort (Voronezh Region). Es ist auch dort wo die russischen Behörden ihm seinen Pass ausgestellten (Novousmansky Kreis, Ort: Otradnoe).
Als Beruf gibt er Entrepreneur, an, also ein Start-up Gründer, der seit 2021 aktiv ist. Mitte 2020 wird er ins Steuersystem geführt (link, link). Khoroshevs Firmen, die er gründete und leitete, stehen da. Die Firma ООО “ТКАНЕР” (tkaner) führt er nur ein Jahr und beschäftigte sich mit online Retail. Die Firma ООО “ВИПГЕО” war auf das Geschäft mit Touristeninformationen ausgelegt. Damals war ein Gryadunov Alexander Alexandrovich, auch noch an Bord. Dieser soll dem Spirit vom Start-up Traum treu geblieben sein, und leite heute die Firma S.S.S.R.
Für die erste Firma erstellte Khoroshev eine Webseite. Sie nennt sie tkaner.com, das belegen WhoIs Einträge. Mindestens sechs weitere Domains lassen sich Khoroshev zuordnen. Es ist für einen ambitionierten Entrepreneur erst mal nichts Ungewöhnliches, eine gewisse Zahl an Webseitendomains anzumelden. Über Webseiten werden Geschäfte gemacht. In einigen der Seite geht es um Marketing im Retailsektor. Es passt zu dem jungen Mann, der sich auf Bildern inszenieren weiß. Oft sind die Bilder gut, da seine jetzige Partnerin eine Fotografin sein soll. Valeria S. studiert am Voronezh Institute of High Technologies. Profilbild mit Mann in Uniform.
Bei der kleinen Firma Tkaner handelt es sich auch um das Start-up, das mit der E-Mail-Adresse aus der US Anklage verbunden ist. Mit der E-Mail khoroshev1@icloud.com ausgestattet befragen wir die OSINT Suchplattform Hunter von Constella Instelligence. Sie zeigt dutzende Einträge. Khoroshev ist durchaus präsent im Netz. Über die letzten zehn Jahre legt er immer wieder Profile mit dieser E-Mail-Adresse an, auf verschiedensten Plattformen im Internet. Er ist fleißig und lebt sich privat wie geschäftlich im Netz aus.
Was die Leakdaten noch zeigt, ist, dass er so oft unvorsichtig seine gesamten persönlichen Daten im Netz präsentierte. Kein Opsec und präventive Löschung seiner Daten. So steht auch eine Telefonnummer der Recherche in einem Leakeintrag vom 17. April 2024 auf XFit.ru, ein Fitness und Erholungscenter.
In Voronezh gibt es vier Xfit. Er oder seine Frau sind sehr sportlich. Dieser Analyse soll nicht Doxing nachgesagt werden, deshalb werden hier auch keine genaueren Informationen genannt. Der Eindruck, den Khoroshev im Netz jedoch vermittelt, ist keiner, den einen kühl-kalkulierten Groß-Cyberkriminellen zeigt. Eher jemand, der sich im Internet auslebt und weniger die Konsequenzen im Kopf hat.
Eine Constella Instelligence Suche nach der Telefonnummer bringt fünf unterschiedliche Adressen zu Tage. Hat Khoroshev Teil des Geldes in Immobilien gesteckt? Sein Bankkonto hatte Khoroshev bei einer kleinen Bank, der Альфа-Банк. Die Kontonummer nach Einschätzungen vom Cyberintelligence Outfit Treadstone 71 und CIO Jeffrey Bardin gilt als “40817810704520020947”.
Wer denkt dort, wo Khoroshev lebt und arbeitet, stehen teure Villen mit teuren Gärten, der irrt. Die Adressen des angeblichen Betrügers liegen in einfachen Wohngebieten. Eine davon ist an der Straye Kaliningradskaya Ulitsa, 108, Appartment 61. Eine rund hundert Quadratmeter große Wohnung unweit des Zentrums von Voronezh. Dicke gelbe Blumen wuchern vor dem neun-geschössigen Hochhaus, die man auf Google StreetView Bildern sehen kann. Die Sonne scheint in die Kamera. Es ist keine vermögende Gegend. Megateure Autos und überreicher Luxus gibt es hier weit und breit nicht. Die Daten kommen aus der russischen Regierungsdatenbasis und zeigen auch hier wieder wie unvorsichtig er agierte.
Die Profile, die mit Khoroshevs E-Mail-Adressen verbunden sind, geben Hinweise auf sein Leben. Sie werfen aber auch Fragen auf. So ist es möglich, dass Khoroshev ein Zocker ist, ein Freund des online Gamings. Er spielt Call of Duty im Netz. Er zahlt gelegentlich mit Paypal und nutzt Apple Produkte mit seiner Apple ID. Er organisiert sich mithilfe eines Notion Accounts. Er programmiert C++ Code und hat sich irgendwann einmal ein Github Konto angelegt, das auf den Usernamen sitedev5 läuft. Es gibt dort zwar kein Programmiercode (mehr). Trotzdem hilft uns diese Suche weiter. Der Username wurde auf anderen Seiten recycelt. Das hängt wohl weniger daran, dass Khoroshev faul ist. Er möchte wiedererkannt werden.
OSINT Kollegen von Predictalab finden einen User mit dem Namen sitedev5 in einem Autoverkaufs online Forum wieder. Als ein Mercedes Coupe zum Verkauf ansteht, kommentierte Khoroshev. Er fahre auch einen Mercedes-Benz GLE-Class Coupe. Ein schönes Gefährt. Aber keines für jemand, der 100 Millionen herumliegen hat. Der Nutzer kommt aus der 1 Million Metropole Voronezh, könnte also durchaus Khoroshev sein.
Weitere Suchen führen zu einem offenen VK Profil. Profilbild mit kurzen Haaren, Jeans und Apple Watch. In einem Studio aufgenommen. Auch hier hat der junge Mann schlampig gearbeitet. Bis heute lassen sich seine VK Kontakte im Profil einsehen. Der Geschäftskollege Gryadunov ist nicht dabei. Das Profil also nur eine Ablenkung? Mindestens über ein Dutzend weitere VK Kontos findet man. Viele sind bereits gelöscht.
VK-Profile können eine Goldgrube für persönliche Informationen sein. Im Falle von Khoroshev lassen sich Bilder auf Reisen finden (wie auf der Krim), oder in Kampfuniform. Das Abzeichen seiner Uniform (unten) lässt sich mit Yandex Reverse Bildsuche als Interne Truppen des Ministeriums für innere Angelegenheiten der Russischen Föderation (ВВ МВД oder VV MVD) identifizieren. Also hat Khoroshev gedient. Eine Beziehung zu Russlands Diensten? Unwahrscheinlich oder zumindest noch nicht belegt. Zudem ist das Geld, das Lockbit ergaunert, nur eine minimale Hilfe in der großen Kriegsmaschinerie des Kremls, so Kommentare auf X. Dennoch gilt: Das was Lockbit in Europa und den USA anrichtete, die Angriffe zeigten Wirkung: Die Angst für Geld gehakt zu werden und damit möglicherweise pleitezugehen, diese Angst ist real. Lockbit ist mitverantwortlich.
Khoroshev ist rechts auf dem Gruppenselfie zu sehen. Weiter rechts, eine Truppe, zu der das Abzeichen gehört. Das Bild wurde auf der Seite eines 31 jahre alten Konstantin Zolotorev gefunden.
Nicht nur auf VK war der stets glattrasierte Russe aktiv gewesen sein. Andere OSINT Kollegen zeigten auf, dass der Username dkhoroshev auf einer bekannten Virus und Malwareseite an einem Tag im März 2015 aktiv geworden war. Die Konversation, über einen Vault Ransomware Trojaner, startete um rund 10 Uhr morgens und endete spätabends. Die Aussage, dass Khoroshev einen Verkauf einfädeln wollte, sei aber falsch, so ein OSINT Twitter Account auf X. Hier sei Khoroshev selbst zum Opfer einer Attacke geworden. Constella Leakdaten zeigen, dass es sich beim Username möglicherweise um денис хорошев, also Denis Khoroshev, aus Moskau, handelte.
Eine heiße Spur führt zu Webseiten, die mit Khoroshevs Telefonnummern verbunden sind. Wie Visualisierung Khoroshev ins größere Bild des Lockbit Kosmos passt, hat pancak3lullz (X Thread) aufgedröselt. Der angebliche Strippenzieher hinter Lockbit erscheint als kleine Antenne des größeren Lockbit Universums.
Khoroshevs registrierte Domain ist mit den Emails webmaster@stairwell.ru sowie admin@stairwell.ru in Verbindung zu bringen. Nach den Hinweisen von OSINTer und Journalist Brian Kebs (Post) steht die Domain stairwell.ru auch mit der E-Mail-Adresse pin@darktower.su in Verbindung. Diese Mail hängt an einer von Khoroshevs Telefonnummern, 79518539388. Und ist im Datenleak firstvds.com wiederzufinden.
Tel: +79518539388
Die Domain wurde 2020 angemeldet, was zu den Informationen der Anklage passt. SU von darktower.su steht übrigens für “Union of Soviet Socialist Republics (USSR)”. Die E-Mail ist reichhaltig an Leakdaten. Es kommt aus einen “maliziösen” Webhost Breach sowie aus dem Leak von Memoraleak. So lässt sich auch die Tangente zum Decknamen “Dima” herstellen (Dima, so heißt es, kenne den Eigentümer dieser Website http://fpteam-teceats.com/board/ — er erkläre das auf Exploit im Jahr 2011).
Der User soll die Hacker Forumseite fpteam-cheats kennen, so Cybershafarat. Die E-Mail Adresse hängt auch an einem Adobe Profil sowie einem Datingprofil der Amerikanischen Datingseite Zooks (2016) und einer weiteren Datingseite Badoo (2016). Mit dem Leak zu firstvds.com lässt sich die Verbindung zu Khoroshev bestätigen. Bis 2024 wurden die E-Mail nach Intel der Seite sprashivai.ru verwendet. Ein Twitter Profil das 2010 gegründet worden ist tauch auch auf. Dimitry, mit Usernamen “Pioneer_3D” steht da.
Wer ist “Mr Pin”?
Was sich hier ergibt, passt zu dem, was andere herausfanden. Khoroshevs trat angeblich mit dem Username “Pin” (und der Email pin@darktower.su) als russischer Kommentator mit 13 Einträgen 2012 auf dem internationalen Cybercrime Forum Opensc auf (so zumindest Intel471 sowie Krebs). Er soll neben Datenverschlüsselungsprobleme und Debugging von Programmen um unter anderem die Frage gestellt haben, wie man Malware in Speicherplatz induzieren kann, und so Windows Rechner angreifen könne.
Mit Pin soll Khoroshevs auch möglicherweise zur gleichen Zeit, um die 2012er Jahre, in Hacker Chatrooms von Antichat vertreten gewesen sein. Unabhängig bestätigen lässt das sich hier nicht. Pins Auftritt auf Antichat soll eine ICQ Nummer enthalten haben, auf der der User wiederum kontaktfreudig gegeben haben soll. Die ICQ ID 669316 ist eine heiße Spur. Sie führt zu einem Forum in dem er 2011/2012 aktiv gewesen war.
Auf Forum.zloy.bzsoll mit dem Usernamen “NeroWolfe”. Das Leak zu ZLoy zeigt NeroWolfes DoB (April 17, 1991). Bis auf die Jahreszahl passt das zu Khoroshev (er ist 1993 geboren). Auch die E-Mail des Accounts d.horoshev@gmail.com passt ins Bild.
Die Recherche zu NeroWolfe ist auch deshalb wichtig, weil sie die Entwicklung des C++ Programmierers in die Hackingwelt darstellt. Unter anderem soll der User 2013 Malware “Loader Programme” in den Hackerforen Verifiedangeboten haben. Ziel war es mit diesen Programmen den Sicherungsschutz bei Window Rechnern zu umgehen. Auch auf dem Cybercrime Forum Exploit war NeroWolfe aktiv.
Krebs Schlussfolgerung aus den Recherchen zu NeroWolfe und den Hacker-Forumeinträgen ist, dass Khoroshev nicht den Anschein gibt, als fürchte er enttarnt zu werden. Seine Hacker Social-Media Profile sind leicht in Verbindung mit seiner Person zu bringen.
Eine weiter email von ihm, 3k@xakep.ru ist mit NeroWolfes (aber auch unterwegs mit dem Usernamen Nero_Wolfe oder Pony1, oder дмитрий юрьевич/Dmitry Yuryevich) Chatprofilen verbunden, und lässt sich auch zu einem VK Profilvon Khoroshev spannen, sowie einem Profil des illegalen/maliziösen CRDShop.su sowie einer Deutschen IP Adresse, und vielen weiteren Verbindungen:
Obwohl Khoroshev erst Anfang 30 ist, hat er schon viel in der Szene erlebt. Wenn die Informationen stimmen, hat er essenziell dazu beigetragen, das Modell Ransomware for a Service zu etablieren. Die Daten lassen vermuten, dass er schon mindestens ein Jahrzehnt mit Ransomware und Hacking zu tun hat.
Am 7. Mai hat das US-Staatsministerium angekündigt, eine Belohnung von bis zu 10 Millionen US-Dollar demjenigen anzubieten, der Informationen, zur Verhaftung und Verurteilung von Khoroshev beitragen kann.
Neben Khoroshev werden auch eine Handvoll weiterer Hacker in der US Anklage genannt. Darunter auch der mit dem Spitznamen Wazawaka, mit bürgerlichen Namen: Mikhail Pavlovich Matveev. Der “Coconspirator” soll Lockbit und damit Khoroshev geholfen haben, die Hacker Angriffe auszuführen.
Wie das Leben eines Most Wanted ist, zeigt Matveev auf Social Media. Er meldete sich kürzlich aus seinem Luxuswagen mit einem Selfievideo zu Wort und brüllt einen russischen Song. Er wirkt erschöpft. Tiefe Augenringe zeigen den Komplizen von Khoroshev. Von dem vitalen Hacker mit den kurzen Haaren aus 2023 gibt es keine Spur mehr.
ENDE
Thanks to Lindsay Whyte and Constella Intelligence
Das vielleicht Interessanteste an dieser Recherche war es, wie gestohlene Breach Leakdaten mir dabei halfen, die Welt des Mannes zu erklären, der selbst Daten klaute.
Weitere Eckdaten und Quellen zu LockBit/Khoroshev Recherchen
Prescient: Blog zu einigen verifizierten Erkenntnissen
https://www.linkedin.com/pulse/unmasking-lockbitsupp-prescient-edge-gjprc/
Nicknamen — horoshev, cijixody, 123456a, Legenden Ghost, darkbot4, pony1 (on the pony1 website), anakonda66, dmitro8654567888, NeroWolfe (profile on Exploit since 2011, 520 posts)
Firmensitz: 394006, Voronezh, Kirova st., 28,
Email Addressen— d.horoshev@gmail.com, khoroshev1@icloud.com (attached to the company), 3k@xakep.ru (registered on the exploit hacker forum), darkbot@smtp.ru
Telefonnummern: 79518539388, 79673415167, 79521020220, 84732414824, 79518535470, 79663197842, 79518539348 (linked to tg), 79826204216
Neuestes VK Profil — https://vk.com/d_khoroshev (inaktiv/gelöscht)
VK des Mädchens, mit dem er studierte:— https://vk.com/id166467435 (sie sagte, dass Dima jetzt in Zypern lebe), https://vk.com/dmitro8654567888
Vater: Khoroshev Yuri Viktorovich 06/18/1961, OGRN: 321366800053738 INN: 366101146405, 79042145563
Passwörter: Fursty44111, 123456aa, fkkjfgegecmrf, 2259848
https://x.com/fs0c131y/status/1788918541132976581
https://krebsonsecurity.com/2024/05/how-did-authorities-identify-the-alleged-lockbit-boss/
