Pada awal tahun ini, sebuah koalisi lembaga penegak hukum internasional mengambil alih situs web gelap dari geng ransomware terkenal LockBit, menggantikan isinya dengan pesan yang sudah tidak asing lagi dari pihak berwenang: “Situs ini sekarang berada di bawah kendali hukum.” Operasi itu tidak terlalu mengganggu operasi kelompok itu untuk waktu yang lama, dengan geng tersebut meluncurkan situs baru segera setelah takedown tersebut.
Namun kemudian, pada tanggal 6 Mei, pihak berwenang memperbarui halaman situs lama LockBit dan mengumumkan bahwa mereka akan mengungkap identitas administrator LockBit. “Siapakah LockBitSupp?” tertera dalam sebuah kotak di situs itu, yang juga mencantumkan hitungan mundur 24 jam.
Ketika peneliti keamanan siber Jon DiMaggio melihat pengumuman itu, ia segera bertanya-tanya: Apakah polisi memiliki orang yang sama yang telah saya identifikasi?
Untuk beberapa tahun terakhir, DiMaggio, yang merupakan peneliti di perusahaan keamanan siber Analyst1, telah mengembangkan hubungan dengan LockBitSupp — pertama-tama berpura-pura menjadi seorang cybercriminal pemula yang tertarik untuk bergabung dengan geng, kemudian sebagai dirinya sendiri. Dan, pada akhirnya, DiMaggio berhasil mencari tahu identitas asli LockBitSupp sebelum diumumkan secara publik oleh pihak berwenang.
Pada Jumat, dalam sebuah presentasi di konferensi peretasan Def Con di Las Vegas, DiMaggio menceritakan seluruh cerita hubungannya dengan LockBitSupp, menjelaskan bagaimana dia memenangkan kepercayaannya menggunakan persona palsu, dan kemudian menjaga hubungan itu berlanjut bahkan setelah DiMaggio secara publik mengungkapkan bahwa dia telah menyusup ke dalam geng dan menipu LockBitSupp untuk memberikan rincian operasi kepada dirinya.
"Hubungan kita memiliki sejumlah naik turun," kata DiMaggio selama pratinjau presentasinya, yang diberikan kepada TechCrunch sebelum konferensi.
Pertama-tama, DiMaggio menjelaskan bahwa dia membuat serangkaian akun boneka untuk mendekati orang-orang yang tampak memiliki hubungan langsung dengan LockBitSupp, serta mengamati interaksi mereka. Tujuan selama tahap ini adalah membuat persona cybercriminal yang memiliki sejarah dan koneksi tertentu di dunia bawah tanah, yang akan membuatnya lebih mudah terlihat kredibel saat menghubungi langsung LockBit dan administratorannya.
“Bagian penting dari ini adalah memantau percakapan yang terlihat tidak relevan. Percakapan di mana mereka tidak waspada, di mana mereka hanya bercakap-cakap dengan hacker lain. Itu memungkinkan saya melihat hal-hal yang mereka sukai dan benci. Itu memberi saya beberapa konteks tentang pandangan politik mereka,” kata DiMaggio. “Semua hal itu yang saya perlukan untuk membangun sebelum saya bisa terlibat karena jika saya masuk dan langsung mulai bertanya tentang serangan dan operasi mereka, akan cukup jelas bahwa saya adalah seorang peneliti.”
DiMaggio mengatakan upayanya pertama untuk bergabung dengan geng itu ditolak, tapi dia terus berkomunikasi dengan LockBitSupp, dengan siapa dia mulai memiliki hubungan langsung dan ramah. Sejak saat itu, DiMaggio mengatakan ia fokus pada LockBitSupp, bercanda dengannya, secara santai menanyakan rincian operasinya, seperti pertanyaan tentang elemen-elemen dan jenis serangan, bagaimana memilih di antara mereka, bagaimana bernegosiasi dengan korban, dan bagaimana menetapkan tuntutan tebusan yang tepat tergantung pada perusahaan korban.
Lalu, pada Januari 2023, DiMaggio menulis laporan panjang tentang temuannya selama penelitian menyamar, dan pada dasarnya membakar semua persona cybercriminal palsunya. DiMaggio mengatakan ia pikir ini akan menjadi akhir dari hubungannya dengan LockBitSupp. Namun, pemimpin kriminal tersebut tampaknya merespons dengan santai, memposting di forum bahwa dia berharap DiMaggio telah menunjukkannya di atas kapal pesiar dengan wanita-wanita, menikmati hidupnya sebagai seorang cybercriminal berlapis-lapis. Itu sendiri menarik perhatian DiMaggio.
“Orang yang saya kenal, meskipun dia tentu saja termotivasi oleh uang, dia bukan orang yang mencolok, dia bukan tipe orang yang saya harapkan menjadi terobsesi dengan barang-barang materi,” kata DiMaggio. “Jadi ada kontras yang besar dalam perilaku dan persona yang dia perlihatkan di forum-forum ini versus orang yang saya ajak bicara secara langsung.”
Lalu, DiMaggio mengatakan bahwa LockBitSupp mulai menggunakan foto LinkedIn-nya sebagai avatar di forum peretasan sebagai cara untuk mengolok-olok DiMaggio. "Ini benar-benar permainan kucing dan tikus, dan yang jujur LockBit sangat senang bermain game ini dengan saya sebanyak yang saya suka bermain dengan mereka,” kata DiMaggio.
Pada suatu saat pada awal Agustus tahun lalu, DiMaggio memutuskan untuk menjahili LockBitSupp secara publik. Sebagai lelucon, ia memposting di X mengklaim bahwa ia akan merilis penelitian baru tentang kelompok ransomware, dan bahwa jika LockBitSupp ingin menghentikannya, dia bisa membayar $10 juta. Ia membuatnya terlihat seperti dia mencoba memeras para penjahat tersebut. Kejutan, tampaknya beberapa cybercriminal percaya padanya, dan khawatir akan terungkap.
“Ini menunjukkan dari aspek psikologis, Anda benar-benar bisa mengganggu orang-orang ini,” kata DiMaggio. “Aspek mental dari operasi ini jauh lebih dari apa pun yang saya lakukan.”
Sementara itu, DiMaggio mengatakan bahwa LockBitSupp offline selama sekitar 12 hari. Ketika dia kembali, dia tampak kesal, tapi tidak berhenti berkomunikasi dengannya. Sekitar waktu yang sama, LockBit mengklaim bertanggung jawab atas serangan siber terhadap sebuah rumah sakit komunitas yang merawat anak-anak di Chicago, serangan kedua terhadap rumah sakit setelah yang menimpa rumah sakit SickKids di Toronto, fasilitas lain untuk anak-anak.
Serangan-serangan ini, kata DiMaggio, “sangat, sangat membuat saya marah.” Dan hampir meyakinkannya untuk mengirim pesan marah kepada LockBitSupp, memberitahunya untuk “pergi” ketika dia datang. Akhirnya, DiMaggio mengatakan dia memutuskan untuk tidak mengirimnya, karena “Anda tidak bisa menjadi terlalu terikat secara emosional dengan target Anda.”
Kemudian, penegak hukum menutup situs web LockBit, dan setidaknya sementara mengganggu operasi geng itu. DiMaggio mengatakan bahwa dia memutuskan untuk fokus semua upayanya untuk mengidentifikasi LockBitSupp, menyebarkan informasi di dunia kriminal siber, dan dengan peneliti lainnya, bahwa dia akan mengejar pemimpin geng tersebut.
“Pada titik ini, LockBit tahu itu, perburuan dimulai,” kata DiMaggio.
Dan perburuan itu difasilitasi oleh seorang informan anonim yang mengirimkan sesuatu kepada DiMaggio. Penginforman tersebut, kata DiMaggio, memberinya alamat email Yandex yang diduga dimiliki oleh LockBitSupp. Dengan itu sebagai titik awal, DiMaggio mengatakan dia berhasil mengungkap misteri identitas LockBitSupp, membawanya pada seseorang bernama Dmitry Khoroshev. Tapi sekarang, sebingkai menariknya temuan itu, DiMaggio tidak bisa sepenuhnya yakin.
Tapi kemudian, terjadi sesuatu yang bahkan dia tidak menyangka. Pihak berwenang memperbarui situs web LockBit yang disita dengan tujuan untuk mengungkap identitas LockBitSupp. DiMaggio mengatakan bahwa pada titik ini dia menghubungi FBI, dengan siapa dia memiliki hubungan sebagai mitra industri swasta, dan memberi tahu mereka bahwa dia telah mengidentifikasi Khoroshev sebagai administrator LockBit, dan dia berencana untuk menulis laporan mengungkapkan hal tersebut. Tujuan, kata DiMaggio, adalah untuk bertanya kepada FBI apakah dia harus menunggu untuk menerbitkan laporannya atau tidak.
“Jika mereka memberi tahu saya untuk menunggu, maka ada peluang bagus saya memiliki orang yang tepat. Jika mereka memberi tahu saya melakukan apa pun yang saya inginkan, maka saya mungkin tetap menunggu karena itu mungkin karena saya memiliki orang yang salah,” kata DiMaggio, yang menambahkan bahwa FBI menyuruhnya untuk menunggu.
DiMaggio sedang dalam perjalanan ke konferensi keamanan siber RSA di San Francisco, jadi "Saya mengemas barang-barang saya, terbang ke San Francisco, mendarat, saya sampai ke hotel, dan saya menghabiskan sepanjang hari, sepanjang malam bekerja dan menulis," kata DiMaggio. “Saya menulis segala hal yang saya punya tentang Dmitry. Dan saya akan menunggu hitungan mundur ini berakhir. Dan ketika mereka menerbitkannya, jika kami memiliki orang yang sama, saya akan menerbitkan laporan saya.”
Ketika hitungan mundur 24 jam tiba pada angka nol, seperti yang dijanjikan, Departemen Kehakiman AS menuduh Dmitry Khoroshev sebagai otak dan administrator LockBit. Pada saat itu, DiMaggio dapat menerbitkan laporannya sendiri yang mencari tahu Khoroshev.
“Ini pertama kalinya saya mencari tahu seseorang. Dan, well, mereka merilis namanya, saya merilis segalanya tentang orang ini. Saya punya di mana dia tinggal, saya memiliki nomor teleponnya, yang saat ini dan sebelumnya," kata DiMaggio. “Dan, sulit untuk tidak langsung menghubungi orang ini melalui telepon, telah memiliki nomor telepon asli sebelum dakwaan, hanya untuk melihat apakah saya punya orang yang tepat, tapi saya tidak melakukannya.”
DiMaggio bahkan menerbitkan pesan untuk Khorosehv, sebagai bentuk perpisahan dan memberitahu dia harus mencari tahu dia sebelum orang lain melakukannya.
“LockBitSupp, Anda orang pintar. Anda mengatakan ini bukan lagi tentang uang, dan Anda ingin memiliki sejuta korban sebelum berhenti, tapi terkadang Anda perlu tahu kapan harus berjalan pergi. Inilah waktunya, teman lama saya,” tulis DiMaggio.
“Anda selalu jujur dengan saya, dan saya ingin jujur dengan Anda. Ambil uang Anda dan pergilah menikmati hidup Anda sebelum Anda berakhir dalam situasi di mana Anda tidak bisa. Seperti REvil, Anda telah mendorong batas-batas. Saatnya bergerak maju. Saya tidak membencimu; Saya benci apa yang Anda lakukan, dan saya tidak menikmati mengekspos Anda hari ini karena kita saling kenal sudah lama. Kebenaran adalah jika saya tidak melakukan ini hari ini, orang lain akan melakukannya. Saya sangat menghormati Anda sebagai lawan untuk melihat Anda dirobek oleh seorang badut dengan buku panduan OSINT, yang hanya diperlukan sekarang setelah identitas Anda diketahui. Dengan sejarah kami, itu harus datang dari saya. Waktunya untuk melanjutkan,” katanya.
Sejak itu, DiMaggio mengatakan, dia tidak pernah mendengar kembali dari Khoroshev.
Dalam berbicara terbuka tentang operasinya, DiMaggio mengatakan dia berharap dapat menunjukkan bagaimana peneliti dapat menemukan informasi tentang para penjahat siber dengan menyusup ke dalam kelompok mereka, dan tidak hanya mengumpulkan data dari hack atau mengintip di forum. Tetapi DiMaggio juga mengatakan bahwa dia ingin para peneliti mengetahui bahwa melakukan apa yang dia lakukan bisa membawa konsekuensi, meskipun, sampai saat ini, dia baru mendengar rumor bahwa Khoroshev ingin membalas dendam, meskipun tidak ada yang terjadi.
“Tidak ada yang bisa terlepas dari ini, ” kata DiMaggio, “ketika Anda berurusan dengan penjahat seperti ini.”
