Autoridades afirmam que o administrador do LockBit “LockBitSupp” se envolveu com a aplicação da lei
LockBitSupp, o(s) tipo(s) por trás da persona que representa o serviço de ransomware LockBit em fóruns de crimes cibernéticos porquê Exploit e XSS, “se envolveu com a emprego da lei”, disseram as autoridades.
O desenvolvimento ocorre em seguida a derrubada da prolífica operação de ransomware porquê serviço (RaaS) porquê segmento de uma operação internacional coordenada de codinome Cronos. Mais de 14.000 contas fraudulentas em serviços de terceiros porquê Mega, Protonmail e Tutanota usadas pelos criminosos foram fechadas.
“Sabemos quem ele é. Sabemos onde ele mora. Sabemos quanto ele vale. A LockbitSupp se envolveu com a emprego da lei”, de tratado com uma mensagem postada no agora apreendido (e offline) site de vazamento de dados da dark web.
O movimento foi interpretado por observadores de longa data do LockBit porquê uma tentativa de gerar suspeitas e semear a suspicácia entre os afiliados, minando em última estudo a crédito no grupo dentro do ecossistema do delito cibernético.
De tratado com pesquisa publicada pelo Analyst1 em agosto de 2023, há evidências que sugerem que pelo menos três pessoas diferentes operaram as contas “LockBit” e “LockBitSupp”, sendo uma delas o próprio líder da gangue.
No entanto, falando com o grupo de pesquisa de malware VX-Underground, LockBit afirmou “eles não acreditavam que as autoridades policiais conhecessem suas identidades.” Eles também aumentaram a recompensa oferecida a qualquer um que pudesse enviar-lhes mensagens com seus nomes verdadeiros para US$ 20 milhões. É importante notar que a recompensa aumentou de US$ 1 milhão para US$ 10 milhões no final do mês pretérito.
LockBit – também chamado de Gold Mystic e Water Selkie – teve várias iterações desde seu início em setembro de 2019, nomeadamente LockBit Red, LockBit Black e LockBit Green, com o sindicato do delito cibernético também desenvolvendo secretamente uma novidade versão chamada LockBit-NG-Dev antes de sua infraestrutura sendo desmantelada.
“O LockBit-NG-Dev agora é escrito em .NET e compilado usando CoreRT”, disse a Trend Micro. “Quando implantado junto com o envolvente .NET, isso permite que o código seja mais independente de plataforma. Ele removeu os recursos de autopropagação e a capacidade de imprimir notas de resgate por meio das impressoras do usuário.”
Uma das adições notáveis é a inclusão de um período de validade, que continua a funcionar exclusivamente se a data atual estiver dentro de um pausa de datas específico, sugerindo tentativas por segmento dos desenvolvedores de impedir a reutilização do malware, muito porquê resistir à estudo automatizada. .
Diz-se que o trabalho na versão da próxima geração foi estimulado por uma série de problemas logísticos, técnicos e de reputação, principalmente motivados pelo vazamento do construtor de ransomware por um desenvolvedor insatisfeito em setembro de 2022 e também pelas dúvidas que um de seus administradores possa ter foram substituídos por agentes do governo.
Também não ajudou o vestuário de as contas gerenciadas pelo LockBit terem sido banidas do Exploit e do XSS no final de janeiro de 2024 por não pagarem um corretor de chegada inicial que lhes forneceu chegada.
“O ator parecia alguém ‘grande demais para falir’ e até demonstrou desdém pelo louvado que tomaria a decisão sobre o resultado da reclamação”, disse a Trend Micro. “Levante oração demonstrou que a LockBitSupp provavelmente está usando sua reputação para ter mais peso ao negociar o pagamento pelo chegada ou a parcela do pagamento do resgate com afiliados.”
A PRODAFT, em sua própria estudo da operação LockBit, disse ter identificado mais de 28 afiliados, alguns dos quais compartilham laços com outros grupos russos de delito eletrônico, porquê Evil Corp, FIN7 e Wizard Spider (também sabido porquê TrickBot).
Essas conexões também são evidenciadas pelo vestuário de que a gangue operava porquê uma “boneca de nidificação” com três camadas distintas, dando uma percepção externa de um esquema RaaS estabelecido que comprometia dezenas de afiliados enquanto emprestava furtivamente testadores de caneta altamente qualificados de outros grupos de ransomware, forjando dados pessoais. alianças.
A cortinado de fumaça se materializou na forma do que é chamado de padrão Ghost Group, de tratado com os pesquisadores da RedSense Yelisey Bohuslavskiy e Marley Smith, com o LockBitSupp servindo “porquê uma mera distração para operações reais”.
“Um Grupo Fantasma é um grupo que tem capacidades muito elevadas, mas as transfere para outra marca, permitindo que o outro grupo terceirize as operações para eles”, disseram. “A versão mais clara disso é Zeon, que terceirizou suas habilidades para LockBit e Akira.”
Estima-se que o grupo tenha obtido mais de US$ 120 milhões em lucros ilícitos em seus vários anos de atuação, emergindo porquê o ator de ransomware mais ativo da história.
“Oferecido que os ataques confirmados da LockBit durante os seus quatro anos de operação totalizam muito mais de 2.000, isto sugere que o seu impacto global é da ordem de vários milhares de milhões de dólares”, disse a Dependência Vernáculo do Violação do Reino Unificado (NCA).
Escusado será proferir que a Operação Cronos provavelmente causou danos irreparáveis à capacidade do grupo criminoso de continuar com atividades de ransomware, pelo menos sob a sua marca atual.
“A reconstrução da infraestrutura é muito improvável; a liderança da LockBit é tecnicamente muito incapaz”, disse RedSense. “As pessoas a quem delegaram o seu desenvolvimento infra-estrutural há muito deixaram o LockBit, porquê pode ser visto pelo primitivismo da sua infra-estrutura.”
“(Os corretores de chegada inicial), que foram a principal nascente do empreendimento da LockBit, não confiarão em seu chegada a um grupo em seguida uma remoção, pois desejam que seu chegada seja transformado em quantia.”
