Az Egyesült Államok Igazságügyi Minisztériuma (DoJ) bejelentette, hogy több mint 2,8 millió dollár értékű kriptoeszközt foglaltak le a feltételezett zsarolóvírus-üzemeltetőtől, Ianis Aleksandrovich Antropenkótól. Antropenkót Texas államban vádolták meg számítógépes csalás és pénzmosás miatt. Őt kötötték a Zeppelin ransomware-hez, egy mára megszűnt zsarolóprogram-művelethez, amely 2019 és 2022 között volt aktív. A digitális eszközök lefoglalásán túl a hatóságok 70 000 dollár készpénzt és egy luxusjárművet is elkoboztak.
„Antropenko a Zeppelin ransomware-t használta arra, hogy magánszemélyeket, vállalkozásokat és szervezeteket támadjon világszerte, beleértve az Egyesült Államokat is” – áll a DoJ közleményében. „Egészen pontosan Antropenko és társai a sértettek adatait titkosították és kiszivárogtatták, majd jellemzően váltságdíjat követeltek azok visszafejtéséért, a publikálás elkerüléséért vagy a törlésük elkerülése érdekében.”
A váltságdíjfizetéseket követően Antropenko a pénzek tisztára mosását a ChipMixer nevű coin-tumbling szolgáltatáson keresztül kísérelte meg, amelyet a hatóságok 2023 márciusában számoltak fel. További pénzmosási módszerei közé tartoztak a kriptó készpénzre való átváltása, valamint az ún. strukturált betétek, ahol nagy összegeket bontott kisebb tranzakciókra, hogy elkerülje a banki jelentési kötelezettségeket.
A Zeppelin ransomware 2019 végén jelent meg, a VegaLocker/Buran család egy új variánsaként. Elsődleges célpontjai az egészségügyi és informatikai szektor voltak, különösen MSP (Managed Service Provider) szoftverhibák kihasználásával. 2021-ben, egy inaktív időszak után, a Zeppelin operátorai frissített verziókkal tértek vissza, azonban az alkalmazott titkosítási séma hibái szakmai hanyagságra utaltak.
2022 novemberére a Zeppelin művelet lényegében megszűnt. Ekkor derült ki, hogy a Unit221b biztonsági kutatói már 2020 eleje óta rendelkeztek a dekódoló kulccsal, amelynek segítségével az áldozatok díjmentesen helyreállíthatták adataikat. 2024 januárjában olyan információk láttak napvilágot, hogy a Zeppelin forráskódját egy hacktivista fórumon mindössze 500 dollárért adták el.
Az Antropenko elleni vádemelés azt bizonyítja, hogy a bizonyítékok még évekkel a kiberbűnözői tevékenység befejezése után is hozzájárulhatnak a ransomware-operátorok azonosításához.
A most lefoglalt 2,8 millió dollár, amely a váltságdíjfizetésekből származik, egy sor hasonló intézkedést követ: nemrégiben az amerikai hatóságok 1 millió dollárnyi kriptót foglaltak le a BlackSuit ransomwaretől, valamint 2,4 millió dollárnyi Bitcoint a Chaos ransomware-től. A bűnözői bevételek lefoglalása kulcsfontosságú a zsarolóvírusok elleni küzdelemben, különösen olyan esetekben, amikor nincs közvetlen letartóztatás. Ezáltal ugyanis megakadályozzák, hogy az operátorok és partnereik a megszerzett pénzeket új infrastruktúra kiépítésére vagy új tagok toborzására használják fel.
