LockBitSupp, la persona detrás de la persona que representa el servicio de ransomware LockBit en foros de cibercrimen como Exploit y XSS, «se ha comprometido con las autoridades», dijeron las autoridades.
Este desarrollo sigue al desmantelamiento de la prolífica operación de ransomware como servicio (RaaS) en una operación internacional coordinada llamada Cronos. Se han cerrado más de 14.000 cuentas maliciosas en servicios de terceros como Mega, Protonmail y Tutanota, utilizadas por delincuentes.
«Sabemos quién es. Sabemos dónde vive. Sabemos cuánto vale. LockbitSupp se ha comprometido con las autoridades», según un mensaje publicado en el sitio de fuga de datos de la Dark Web ahora incautado (y fuera de línea).
El movimiento fue intérprete por observadores de LockBit desde hace mucho tiempo con el objetivo de crear sospechas y sembrar desconfianza entre los afiliados, lo que en última instancia socava la confianza en el grupo dentro del ecosistema del cibercrimen.
Según un estudio publicado por Analyst1 en agosto de 2023, existe evidencia sugieren que al menos tres personas diferentes operaban las cuentas «LockBit» y «LockBitSupp», siendo uno de ellos el propio líder de la pandilla.
Sin embargo, hablando con el grupo de investigación de malware VX-Underground, LockBit declarado «No creían que las autoridades conocieran su identidad». También aumentaron la recompensa ofrecida a cualquiera que pueda enviarles mensajes con su nombre real a 20 millones de dólares. Cabe señalar que la recompensa fue aumentar de $1 millón a $10 millones a finales del mes pasado.
LockBit – también llamado Gold Mystic y Selkie de agua – ha pasado por varias iteraciones desde su creación en septiembre de 2019, a saber, LockBit Red, LockBit Black y LockBit Green, y el sindicato de delitos cibernéticos también desarrolló en secreto una nueva versión llamada LockBit-NG-Dev antes de que su infraestructura fuera derribada.
«LockBit-NG-Dev ahora está escrito en .NET y compilado usando CoreRT», Trend Micro dicho. «Cuando se implementa junto con el entorno .NET, esto permite que el código sea más independiente de la plataforma. Esto elimina las capacidades de autopropagación y la capacidad de imprimir notas de rescate a través de las impresoras del usuario».
Una de las adiciones notables es la inclusión de un período de validez, que sólo continúa funcionando si la fecha actual cae dentro de un rango de fechas específico, lo que sugiere intentos por parte de los desarrolladores de evitar la reutilización de malware y resistir el análisis automatizado. .
Según se informa, el trabajo en la variante de próxima generación se ha visto impulsado por una serie de problemas logísticos, técnicos y de reputación, principalmente debido a que un desarrollador descontento filtró el creador de ransomware en septiembre de 2022 y también a las dudas que uno de sus administradores pudiera tener. sido reemplazados por agentes del gobierno.
Tampoco ayudó que las cuentas administradas por LockBit fueran prohibidas en Exploit y XSS a fines de enero de 2024 por no pagarle a un corredor de acceso inicial que les proporcionó acceso.
«El actor se mostró como alguien que era ‘demasiado grande para fracasar’ e incluso mostró desdén hacia el árbitro que tomaría la decisión sobre el resultado de la demanda», dijo Trend Micro. «Este discurso demostró que LockBitSupp probablemente esté usando su reputación para ganar influencia al negociar el pago por el acceso o la participación en los rescates con los afiliados».
PRODAFT, en su propio análisis de Operation LockBit, dijo que había identificado más de 28 subsidiarias, algunas de las cuales comparten vínculos con otros grupos rusos de cibercrimen como Evil Corp, FIN7 y Wizard Spider (también conocido como TrickBot).
Estas conexiones también se evidencian en el hecho de que la pandilla operaba como una «muñeca nido» con tres capas distintas, dando una percepción externa de un sistema RaaS establecido que comprometía a docenas de afiliados mientras tomaba prestado sigilosamente de los probadores de red una intrusión altamente calificada para otros grupos de ransomware. falsificando información personal. alianzas.
La cortina de humo se materializó en la forma de lo que se llama un modelo de grupo en la sombra, según los investigadores de RedSense Yelisey Bohuslavskiy y Marley Smith, con LockBitSupp sirviendo «como una mera distracción de las operaciones reales».
“Un grupo fantasma es un grupo que tiene capacidades muy altas pero las transfiere a otra marca permitiendo que el otro grupo les subcontrate operaciones”, explican. dicho. «La versión más clara es la de Zeon, que subcontrató sus habilidades a LockBit y akira«.
Se estima que el grupo obtuvo más de 120 millones de dólares en ganancias ilícitas durante sus actividades de varios años, convirtiéndose en el actor de ransomware más activo de la historia.
«Teniendo en cuenta que los ataques confirmados de LockBit en sus cuatro años de operación suman más de 2.000, esto sugiere que su impacto global es de miles de millones de dólares», dijo la agencia británica National Crime Agency (NCA).
No hace falta decir que la Operación Cronos probablemente causó un daño irreparable a la capacidad del grupo criminal para continuar con sus actividades de ransomware, al menos bajo su marca actual.
«Es muy poco probable reconstruir la infraestructura; la gestión de LockBit es técnicamente muy incapaz», dijo RedSense. «Las personas en quienes delegaron el desarrollo de su infraestructura hace tiempo que abandonaron LockBit, como lo demuestra el primitivismo de su infraestructura».
«[Initial access brokers]quienes fueron la fuente principal de la compañía LockBit, no confiarán en su acceso a un grupo después de un retiro, porque quieren que su acceso se convierta en efectivo.
