De FBI kon een Russische man die van allerlei ransomware-aanvallen en witwassen wordt verdacht dankzij zeer slechte operationele security aan de kant van de verdachte identificeren en uiteindelijk ook aanhouden, zo stelt een security-analist en blijkt uit gerechtelijke documenten (pdf). De verdachte zou wereldwijd allerlei organisaties met de Zeppelin-ransomware hebben aangevallen. Volgens de openbaar aanklager in de Verenigde Staten zijn sinds 2020 in alleen de VS zeker 138 organisaties slachtoffer van deze ransomware geworden.

De FBI startte begin 2020 een onderzoek naar de aanvallen met de Zeppelin-ransomware. Op versleutelde systemen lieten de aanvallers een bericht achter dat er met een AOL.com e-mailadres contact moest worden gezocht. Na een gerechtelijk bevel moest AOL informatie over het e-mailaccount met de FBI delen. Rechercheurs ontdekten dat er voor het account meerdere recovery e-mailadressen waren ingesteld. Via dit soort e-mailadressen kan de eigenaar van een account weer toegang krijgen mocht hij niet meer kunnen inloggen.

In totaal waren er twee verschillende Proton e-mailadressen als recovery adres ingesteld. De FBI vroeg informatie over één van de adressen op bij PayPal. Het e-mailadres was gebruikt voor een PayPal-account in naam van de verdachte. De FBI identificeerde ook een rekening bij de Bank of America. De naam van dit account was gelijk aan het tweede Proton recovery e-mailadres dat de verdachte voor het AOL-account had ingesteld.

Het onderzoek naar de verdachte leidde ook naar cryptobeurs Binance. Op basis van verschillende bitcoin-transacties vroeg de FBI informatie op over een account. Uit de informatie die Binance verstrekte bleek dat de verdachte eigenaar van het account was. Tevens werden ook zijn geboortedatum, paspoortnummer en telefoonnummers verstrekt. Die kwamen overeen met de gegevens die op een visumaanvraag van de verdachte stonden en waar de FBI al over beschikte.

ICloud-account en seed phrases

De FBI ging vervolgens met de door Binance verstrekte telefoonnummers naar Apple. Via een "legal proces" liet Apple weten dat één van de gegeven telefoonnummers was gebruikt voor een iCloud-account. Daarop stapte de FBI naar de rechter en kreeg een gerechtelijk bevel dat Apple verzocht om informatie uit het account met de opsporingsdienst te delen. Apple verstrekte meerdere foto's en bestanden, waaronder een tekstbestand met een seed phrase.

Seed phrases bestaan uit verschillende woorden en geven toegang tot de bijbehorende cryptowallet. Die bevatte volgens de FBI meer dan 40 bitcoin, afkomstig van ransomware-slachtoffers. Onlangs maakten de Amerikaanse autoriteiten bekend dat ze 2,8 miljoen dollar aan crypto van de verdachte in beslag hadden genomen. Tevens legde de Amerikaanse opsporingsdienst beslag op 70.000 dollar aan contant geld en een Lexus ter waarde van 123.000 dollar.

De operationele security van de verdachte was volgens Ian Gray van securitybedrijf Flashpoint bijzonder slecht. "Hij gebruikte zijn persoonlijke PayPal-account dat gekoppeld was aan recovery e-mailadressen voor ransomware-aanvallen, deelde gebruikersnamen tussen bank- en ransomware-accounts, en bewaarde gevoelige informatie zoals seed phrases en foto's van grote hoeveelheden cash in iCloud-accounts", aldus Gray tegenover Cyberscoop. Hij voegt toe dat deze operationele securityfouten er uiteindelijk voor zorgden dat de FBI de verdachte kon identificeren. De verdachte pleitte na zijn aanhouding onschuldig te zijn.