Het Amerikaanse ministerie van Justitie maakte op 12 juni, lokale tijd, bekend dat een Oekraïens staatsburger die vanuit Ierland aan de Verenigde Staten is uitgeleverd, schuldig heeft gepleit aan beschuldigingen in verband met zijn rol in de Conti-ransomwareoperatie. De man, Oleksii Oleksiyovych Lytvynenko, 44, pleitte schuldig aan samenzwering om draadfraude te plegen vanwege zijn rol in meerdere Conti-ransomware-aanvallen tussen 2021 en 2022.

Aanklagers wezen erop dat Lytvynenko en zijn medewerkers de Conti-ransomware gebruikten om de netwerken van meerdere slachtofferorganisaties in de Verenigde Staten en daarbuiten binnen te dringen, hun systemen en apparaten versleutelden na het stelen van gegevens, en dit gebruikten om Bitcoin-losgeld van de slachtoffers af te persen. Volgens de door het ministerie van Justitie onthulde zaak gaf Lytvynenko toe dat hij zich sinds ongeveer september 2021 bij de Conti-bende had aangesloten en in het bezit was van gestolen gegevens van acht Amerikaanse slachtoffers en vier buitenlandse slachtoffers.

Hij gaf ook toe dat hij zich had aangesloten bij een groep onder leiding van een andere mede-samenzweerder van Conti die verantwoordelijk was voor de ontwikkeling van een kwaadaardig programma dat een 'loader' werd genoemd. Deze tools worden gebruikt om andere malwarecomponenten in te zetten die nodig zijn om de aanval uit te voeren en vormen een belangrijke schakel in de ransomware-aanvalsketen.

De ransomware-operatie Conti was destijds een van de meest actieve en destructieve cybercriminele organisaties ter wereld en richtte zich op ziekenhuizen, bedrijven, scholen en overheidsinstanties over de hele wereld. Uit gerechtelijke documenten blijkt dat de Conti-bende zich wereldwijd op ruim duizend slachtoffers richtte en ruim 150 miljoen dollar aan illegale opbrengsten verdiende met losgeldeisen.

De schuldbekentenis volgt op de arrestatie van Lytvynenko in Ierland afgelopen juli en zijn daaropvolgende uitlevering aan de Verenigde Staten. De maximale straf die hem op grond van de huidige aanklachten kan worden opgelegd, is twintig jaar gevangenisstraf, en de uiteindelijke straf zal door de rechtbank worden bepaald.

Uit openbaar beschikbare informatie blijkt dat de ransomwarebende Conti voortkomt uit de cybercriminaliteitsgroep Ryuk en nauw verwant is aan de malwaregroep TrickBot. De groep is berucht vanwege het lanceren van grootschalige ransomware-aanvallen op medische instellingen, overheidsinstanties en grote ondernemingen.

Conti kondigde de sluiting in 2022 aan vanwege lekken van interne chatlogs en toenemende druk van de mondiale wetshandhaving. Beveiligingsonderzoekers zijn van mening dat de kernleden van Conti sindsdien niet zijn gestopt met cybercriminaliteit, maar zich hebben gereorganiseerd en zich hebben aangesloten bij of leiding hebben gegeven aan meerdere andere ransomwaregroepen, waaronder BlackCat (ook bekend als ALPHV), Black Basta, ZEON, Hive, Quantum, BlackByte, Karakurt en Silent Ransom Group.

Naast de aanklacht tegen Lytvynenko hebben de Verenigde Staten en het Verenigd Koninkrijk al in september 2023 sancties aangekondigd en negen Russische burgers strafrechtelijk aangeklaagd in verband met de ransomware-operaties TrickBot en Conti, waarbij ze beweerden dat ze betrokken waren bij aanvallen op meer dan 900 slachtoffers wereldwijd. Deze acties tonen eens te meer de kracht en volharding aan van de samenwerking tussen multinationale wetshandhavingsinstanties bij de bestrijding van transnationale ransomware-misdaden.