Antropenko đã bị truy tố tại bang Texas, Hoa Kỳ về tội gian lận máy tính và rửa tiền, nay lại có liên quan đến mã độc tống tiền Zeppelin, một hoạt động tống tiền hiện đã bị xóa sổ, diễn ra từ năm 2019 đến năm 2022.

Ngoài việc thu giữ tài sản kỹ thuật số, chính quyền còn tịch thu 70.000 đô la tiền mặt và một chiếc xe sang trọng.

Thông báo của Bộ Tư pháp Mỹ nêu rõ: "Antropenko đã sử dụng mã độc tống tiền Zeppelin để nhắm mục tiêu và tấn công nhiều cá nhân, doanh nghiệp và tổ chức trên toàn thế giới, bao gồm cả Hoa Kỳ".

“Cụ thể, Antropenko và đồng phạm sẽ mã hóa và đánh cắp dữ liệu của nạn nhân, và thường yêu cầu tiền chuộc để giải mã dữ liệu của nạn nhân, không công bố dữ liệu hoặc sắp xếp việc xóa dữ liệu.”

Sau khi nhận được tiền chuộc, Antropenko đã cố gắng rửa tiền trên dịch vụ chuyển đổi tiền ảo ChipMixer, dịch vụ này đã bị chính quyền tịch thu vào tháng 3/2023.

Các phương thức rửa tiền khác mà Antropenko sử dụng bao gồm trao đổi tiền điện tử thành tiền mặt và tiền gửi có cấu trúc, nghĩa là chia nhỏ số tiền lớn thành các khoản tiền gửi nhỏ hơn để tránh các quy tắc báo cáo ngân hàng.

Mã độc tống tiền Zeppelin ra đời vào cuối năm 2019 như một biến thể mới của mã độc tống tiền VegaLocker/Buran, nhắm mục tiêu vào các công ty chăm sóc sức khỏe và CNTT thông qua các lỗ hổng phần mềm nhà cung cấp dịch vụ quản lý (MSP).

Năm 2021, sau một thời gian im hơi lặng tiếng, những kẻ điều hành Zeppelin đã quay trở lại với các phiên bản cập nhật, mặc dù sơ đồ mã hóa được sử dụng trong các cuộc tấn công tiếp theo cho thấy sự cẩu thả của chúng.

Đến tháng 11/2022, hoạt động của Zeppelin về cơ bản đã không còn tồn tại. Vào thời điểm đó, các nhà nghiên cứu bảo mật từ Unit221b đã tiết lộ rằng, họ có khóa giải mã để giúp nạn nhân khôi phục tệp miễn phí từ đầu năm 2020.

Vào tháng 01/2024, tin tức cho biết, mã nguồn ransomware Zeppelin đã được bán trên một diễn đàn hack với giá chỉ 500 đô la.

Bản cáo trạng chống lại Antropenko cho thấy bằng chứng có thể giúp vạch trần những kẻ điều hành mã độc tống tiền (ransomware) ngay cả nhiều năm sau khi chúng đã ngừng hoạt động tội phạm mạng.

Việc tịch thu 2,8 triệu đô la được cho là từ tiền chuộc diễn ra sau các hành động tương tự khác mà chính quyền Hoa Kỳ công bố gần đây, bao gồm việc tịch thu số tiền điện tử trị giá 01 triệu đô la từ ransomware BlackSuit và 2,4 triệu đô la Bitcoin từ ransomware Chaos.

Việc tịch thu tiền thu được từ tội phạm là rất quan trọng trong cuộc chiến chống ransomware, đặc biệt là trong những trường hợp không có vụ bắt giữ nào được thực hiện, vì nó ngăn chặn các nhà điều hành tội phạm mang và chi nhánh sử dụng số tiền đó để xây dựng lại cơ sở hạ tầng hoặc tuyển dụng thành viên mới.

Hà Linh