| Der russisch-israelische Doppelstaatsbürger Rostislav Panev wurde an die USA ausgeliefert, um sich wegen seiner Rolle in der LockBit-Ransomware-Verschwörung vor Gericht zu verantworten. | Dual Russian and Israeli national Rostislav Panev has been extradited to the US to face cybercrime charges for his role in the LockBit ransomware conspiracy. |
| Der russisch-israelische Doppelstaatsbürger Rostislav Panev wurde wegen seiner Rolle in der LockBit-Verschwörung an die Vereinigten Staaten ausgeliefert. Im August 2024 wurde Rostislav Panev, 51, in Israel aufgrund eines Haftbefehls der Vereinigten Staaten verhaftet. Im März 2025 wurde Panev an die Vereinigten Staaten ausgeliefert.
„Die Auslieferung von Rostislav Panev an den District of New Jersey macht deutlich: Wenn Sie ein Mitglied der LockBit Ransomware-Verschwörung sind, werden die Vereinigten Staaten Sie finden und vor Gericht stellen“, sagte US-Staatsanwalt John Giordano. „Auch wenn die Mittel und Methoden der Cyberkriminellen immer raffinierter werden, sind mein Büro und unsere Partner im FBI, in der Strafverfolgung und bei internationalen Strafverfolgungsbehörden entschlossener denn je, diese Kriminellen zu verfolgen.“ „Niemand ist vor Ransomware-Angriffen sicher, weder Einzelpersonen noch Institutionen. Gemeinsam mit unseren internationalen Partnern wird das FBI weiterhin nichts unversucht lassen, um die Spur der Zerstörung durch LockBit aufzunehmen. Wir werden weiterhin unermüdlich daran arbeiten, Akteure wie Panev daran zu hindern, sich ihren Weg zu finanziellen Gewinnen zu hacken“, sagte Terence G. Reilly, leitender Special Agent der Newark Division des FBI. Laut der Anklage war Panev seit der Gründung der LockBit-Ransomware-Gruppe im Jahr 2019 bis mindestens Februar 2024 als deren Entwickler tätig. Während dieser Zeit bauten Panev und seine Mitverschwörer LockBit zur zeitweise aktivsten und zerstörerischsten Ransomware-Gruppe der Welt aus. Die LockBit-Gruppe griff mehr als 2.500 Opfer in mindestens 120 Ländern weltweit an, darunter 1.800 in den Vereinigten Staaten. Zu den Opfern gehörten Einzelpersonen, kleine Unternehmen und multinationale Konzerne, darunter Krankenhäuser, Schulen, gemeinnützige Organisationen, kritische Infrastrukturen sowie Regierungs- und Strafverfolgungsbehörden. Die Mitglieder von LockBit erpressten von ihren Opfern Lösegelder in Höhe von mindestens 500 Millionen Dollar und verursachten weitere Verluste in Milliardenhöhe, einschließlich entgangener Einnahmen und Kosten für die Reaktion auf den Vorfall und die Wiederherstellung. Zu den Mitgliedern von LockBit gehörten „Entwickler“ wie Panev, die den LockBit-Malware-Code entwickelten und die Infrastruktur unterhielten, mit der LockBit arbeitete. Die anderen Mitglieder von LockBit, die sogenannten „Affiliates“, führten LockBit-Angriffe durch und erpressten Lösegeldzahlungen von LockBit-Opfern. Die Entwickler von LockBit und die Affiliates teilten sich dann das von den Opfern erpresste Lösegeld. Die Strafverfolgungsbehörden stießen bei der Verhaftung von Panev im August in Israel auf Panevs Computer Administrator-Zugangsdaten für ein im Dark Web gehostetes Online-Repository, in dem der Quellcode für mehrere Versionen des LockBit-Builders gespeichert war, der es LockBit-Mitgliedern ermöglichte, individuelle Builds der LockBit-Ransomware für bestimmte Opfer zu erstellen. In diesem Repository entdeckten die Strafverfolgungsbehörden auch den Quellcode für das LockBit-Tool StealBit, das LockBit-Mitgliedern bei der Exfiltration von durch LockBit-Angriffe gestohlenen Daten hilft. Die Strafverfolgungsbehörden entdeckten auch die Zugangsdaten zum LockBit Control Panel, einem Online-Dashboard, das von den LockBit-Entwicklern für die LockBit-Mitglieder unterhalten und von diesen im Dark Web gehostet wird. In der Zusatzbeschwerde wird auch behauptet, dass Panev über ein cyberkriminelles Forum direkte Nachrichten mit dem Hauptadministrator von LockBit ausgetauscht habe, bei dem es sich laut einer im Mai in New Jersey veröffentlichten Anklageschrift der Vereinigten Staaten um Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев) handelt, der auch unter den Namen LockBitSupp, LockBit und putinkrab bekannt ist. In diesen Nachrichten besprachen Panev und der LockBit-Hauptadministrator Arbeiten, die am LockBit-Builder und am Control Panel durchgeführt werden sollten. Aus den Gerichtsdokumenten geht auch hervor, dass der Hauptadministrator von LockBit zwischen Juni 2022 und Februar 2024 eine Reihe von Überweisungen von Kryptowährungen, die über einen oder mehrere illegale Kryptowährungsmischdienste gewaschen wurden, in Höhe von etwa 10.000 US-Dollar pro Monat an eine Kryptowährungsbörse im Besitz von Panev tätigte. Diese Überweisungen beliefen sich in diesem Zeitraum auf mehr als 230.000 US-Dollar. Bei der Vernehmung durch die israelischen Behörden nach seiner Verhaftung im August gab Panev zu, Programmier-, Entwicklungs- und Beratungsarbeiten für die LockBit-Gruppe durchgeführt und dafür regelmäßig Zahlungen in Kryptowährung erhalten zu haben, die mit den von den US-Behörden festgestellten Überweisungen übereinstimmen. Panev gab zu, für die LockBit-Gruppe Code entwickelt zu haben, mit dem Antivirensoftware deaktiviert wurde, die Malware auf mehreren Computern, die an ein Opfernetzwerk angeschlossen waren, verteilt und die LockBit-Lösegeldforderung auf allen Druckern, die an ein Opfernetzwerk angeschlossen waren, ausgedruckt werden konnte. Panev gab auch zu, den Code für die LockBit-Malware geschrieben und gewartet sowie die LockBit-Gruppe technisch angeleitet zu haben. Die LockBit-Ermittlungen Die Anklageerhebung gegen Panev und seine Verhaftung erfolgten, nachdem die Cyber-Abteilung der britischen National Crime Agency (NCA) in Zusammenarbeit mit dem US-Justizministerium, dem FBI, dem BKA und anderen internationalen Strafverfolgungspartnern im Februar 2024 die LockBit-Ransomware unschädlich gemacht hatte. Dabei wurden zahlreiche öffentlich zugängliche Websites beschlagnahmt, über die sich LockBit mit der Infrastruktur der Organisation verbunden hatte. Außerdem wurde die Kontrolle über die von den LockBit-Administratoren genutzten Server übernommen, wodurch die Fähigkeit der LockBit-Akteure, Netzwerke anzugreifen und zu verschlüsseln, gestört und ihre Opfer mit der Drohung, gestohlene Daten zu veröffentlichen, erpresst wurden. Diese Unterbrechung hat den Ruf von LockBit und seine Fähigkeit, weitere Opfer anzugreifen, erheblich geschwächt, wie aus den in diesem Verfahren vorgelegten Dokumenten hervorgeht. Die zusätzliche Anklage gegen Panev folgt auf Anklagen, die in New Jersey gegen andere Mitglieder von LockBit erhoben wurden, darunter der mutmaßliche Hauptgründer, Entwickler und Administrator Dmitry Yuryevich Khoroshev. In einer im Mai veröffentlichten Anklageschrift gegen Khoroshev wird behauptet, dass Khoroshev bereits im September 2019 mit der Entwicklung von LockBit begann und bis 2024 als Administrator der Gruppe fungierte. In dieser Funktion habe Khoroshev neue Mitglieder rekrutiert, öffentlich unter dem Pseudonym „LockBitSupp“ für die Gruppe gesprochen und die von den Mitgliedern zur Durchführung von LockBit-Angriffen genutzte Infrastruktur entwickelt und gewartet. Auf Khoroshev ist derzeit im Rahmen des TOC-Programms (Transnational Organized Crime) des US-Außenministeriums eine Belohnung von bis zu 10 Millionen Dollar ausgesetzt, wobei Hinweise über die FBI-Website www.tips.fbi.gov/ entgegengenommen werden. Insgesamt wurden sieben LockBit-Mitglieder im Bezirk New Jersey angeklagt. Neben Panev und Khoroshev gibt es weitere Angeklagte von LockBit: – Im Juli bekannten sich zwei LockBit-Mitglieder, Mikhail Vasiliev, auch bekannt als Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99 und Newwave110, und Ruslan Astamirov, auch bekannt als BETTERPAY, offtitan und Eastfarmer, im District of New Jersey der Beteiligung an der LockBit-Ransomware-Gruppe schuldig und gaben zu, mehrere LockBit-Angriffe gegen US-amerikanische und ausländische Opfer durchgeführt zu haben. Vasiliev und Astamirov befinden sich derzeit in Untersuchungshaft und warten auf ihr Urteil. – Im Februar 2024 wurde im Bezirk New Jersey eine Anklageschrift veröffentlicht, in der die russischen Staatsangehörigen Artur Sungatov und Ivan Kondratyev, auch bekannt als Bassterlord, beschuldigt werden, LockBit gegen zahlreiche Opfer in den Vereinigten Staaten eingesetzt zu haben, darunter nationale Unternehmen in der Fertigungsindustrie und anderen Branchen sowie Opfer in der Halbleiterindustrie und anderen Branchen weltweit. Sungatov und Kondratyev befinden sich weiterhin auf freiem Fuß. – Im Mai 2023 wurden zwei Anklageschriften in Washington, D.C., und im District of New Jersey veröffentlicht, in denen Mikhail Matveev, auch bekannt als Wazawaka, m1x, Boriselcin und Uhodiransomwar, beschuldigt wird, verschiedene Varianten von Ransomware, darunter LockBit, verwendet zu haben, um zahlreiche Opfer in den gesamten Vereinigten Staaten anzugreifen, darunter auch das Washington, D.C. Metropolitan Police Department. Matveev befindet sich nach wie vor auf freiem Fuß und wird derzeit im Rahmen des TOC-Belohnungsprogramms des US-Außenministeriums mit bis zu 10 Millionen US-Dollar belohnt; Hinweise werden über die FBI-Website www.tips.fbi.gov/ entgegengenommen. Das TOC (Transnational Organized Crime)-Belohnungsprogramm des US-Außenministeriums bietet Belohnungen in Höhe von – Bis zu 10 Millionen Dollar für Informationen, die zur Festnahme und/oder Verurteilung von Khoroshchev in einem beliebigen Land führen – Bis zu 10 Millionen Dollar für Informationen, die zur Festnahme und/oder Verurteilung von Matveev führen – Bis zu 10 Millionen Dollar für Informationen, die zur Identifizierung und Lokalisierung von Personen führen, die eine wichtige Führungsposition bei LockBit innehaben – Bis zu 5 Millionen Dollar für Informationen, die zur Festnahme und/oder Verurteilung von Personen führen, die an LockBit beteiligt sind oder versucht haben, daran beteiligt zu sein. |
Dual Russian and Israeli national Rostislav Panev has been extradited from prison in Haifa, Israel, to the United States for his role in the LockBit ransomware conspiracy.
In August 2024, Rostislav Panev, 51, was arrested in Israel pursuant to a U.S. provisional arrest request. In March 2025 Panev was extradited to the United States and had an initial appearance before U.S. Magistrate Judge André M. Espinosa where Panev was detained pending trial. “Rostislav Panev’s extradition to the District of New Jersey makes it clear: if you are a member of the LockBit ransomware conspiracy, the United States will find you and bring you to justice,” said United States Attorney John Giordano. “Even as the means and methods of cybercriminals become more sophisticated, my Office and our FBI, Criminal Division, and international law enforcement partners are more committed than ever to prosecuting these criminals.” „No one is safe from ransomware attacks, from individuals to institutions. Along with our international partners, the FBI continues to leave no stone unturned when it comes to following LockBit’s trail of destruction. We will continue to work tirelessly to prevent actors, such as Panev, from hacking their way to financial gain,“ said Acting Special Agent in Charge of the FBI Newark Division Terence G. Reilly. According to the superseding complaint, documents filed in this and related cases, and statements made in court, Panev acted as a developer of the LockBit ransomware group from its inception in or around 2019 through at least February 2024. During that time, Panev and his LockBit coconspirators grew LockBit into what was, at times, the most active and destructive ransomware group in the world. The LockBit group attacked more than 2,500 victims in at least 120 countries around the world, including 1,800 in the United States. Their victims ranged from individuals and small businesses to multinational corporations, including hospitals, schools, nonprofit organizations, critical infrastructure, and government and law-enforcement agencies. LockBit’s members extracted at least $500 million in ransom payments from their victims and caused billions of dollars in other losses, including lost revenue and costs from incident response and recovery. LockBit’s members were comprised of “developers,” like Panev, who designed the LockBit malware code and maintained the infrastructure on which LockBit operated. LockBit’s other members, called “affiliates,” carried out LockBit attacks and extorted ransom payments from LockBit victims. LockBit’s developers and affiliates would then split the ransom payments which were extorted from victims. As alleged in the superseding complaint, at the time of Panev’s arrest in Israel in August, law enforcement discovered on Panev’s computer administrator credentials for an online repository that was hosted on the dark web and stored source code for multiple versions of the LockBit builder, which allowed LockBit’s affiliates to generate custom builds of the LockBit ransomware malware for particular victims. On that repository, law enforcement also discovered source code for LockBit’s StealBit tool, which helped LockBit affiliates exfiltrate data stolen through LockBit attacks. Law enforcement also discovered access credentials for the LockBit control panel, an online dashboard maintained by LockBit developers for LockBit’s affiliates and hosted by those developers on the dark web. The superseding complaint also alleges that Panev exchanged direct messages through a cybercriminal forum with LockBit’s primary administrator, who, in an indictment unsealed in the District of New Jersey in May, the United States alleged to be Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), also known as LockBitSupp, LockBit, and putinkrab. In those messages, Panev and the LockBit primary administrator discussed work that needed to be done on the LockBit builder and control panel. Court documents further indicate that, between June 2022 and February 2024, the primary LockBit administrator made a series of transfers of cryptocurrency, laundered through one or more illicit cryptocurrency mixing services, of approximately $10,000 per month to a cryptocurrency wallet owned by Panev. Those transfers amounted to over $230,000 during that period. In interviews with Israeli authorities following his arrest in August, Panev admitted to having performed coding, development, and consulting work for the LockBit group and to having received regular payments in cryptocurrency for that work, consistent with the transfers identified by U.S. authorities. Among the work that Panev admitted to having completed for the LockBit group was the development of code to disable antivirus software; to deploy malware to multiple computers connected to a victim network; and to print the LockBit ransom note to all printers connected to a victim network. Panev also admitted to having written and maintained LockBit malware code and to having provided technical guidance to the LockBit group. The LockBit Investigation The superseding complaint against, and apprehension of, Panev follows a disruption of LockBit ransomware in February 2024 by the U.K. National Crime Agency (NCA)’s Cyber Division, which worked in cooperation with the Justice Department, FBI, and other international law enforcement partners. As previously announced by the Department, authorities disrupted LockBit by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and by seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data. That disruption succeeded in greatly diminishing LockBit’s reputation and its ability to attack further victims, as alleged by documents filed in this case. The superseding complaint against Panev also follows charges brought in the District of New Jersey against other LockBit members, including its alleged primary creator, developer, and administrator, Dmitry Yuryevich Khoroshev. An indictment against Khoroshev unsealed in May alleges that Khoroshev began developing LockBit as early as September 2019, continued acting as the group’s administrator through 2024, a role in which Khoroshev recruited new affiliate members, spoke for the group publicly under the alias “LockBitSupp,” and developed and maintained the infrastructure used by affiliates to deploy LockBit attacks. Khoroshev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime (TOC) Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/. A total of seven LockBit members have now been charged in the District of New Jersey. Beyond Panev and Khoroshev, other previously charged LockBit defendants include:
The U.S. Department of State’s Transnational Organized Crime (TOC) Rewards Program is offering rewards of:
Information is accepted through the FBI tip website at tips.fbi.gov. Khoroshev, Matveev, Sungatov, and Kondratyev have also been designated for sanctions by the Department of the Treasury’s Office of Foreign Assets Control for their roles in launching cyberattacks. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de