Las autoridades dicen que el administrador de LockBit «LockBitSupp» ha cooperado con las autoridades

LockBitSupp, la persona detrás de la persona que representa el servicio de ransomware LockBit en foros sobre delitos cibernéticos como Exploit y XSS, “se ha comprometido con las autoridades”, dijeron las autoridades.

El desarrollo se produce tras la eliminación de la prolífica operación de ransomware como servicio (RaaS) como parte de una operación internacional coordinada con nombre en código Cronos. Se han cerrado más de 14.000 cuentas no autorizadas en servicios de terceros como Mega, Protonmail y Tutanota utilizados por delincuentes.

«Sabemos quién es. Sabemos dónde vive. Sabemos lo que vale. LockbitSupp ha cooperado con las autoridades», según un Mensaje publicado en el sitio de fuga de datos de la web oscura ahora incautado (y fuera de línea).

El movimiento fue interpretado por observadores de LockBit desde hace mucho tiempo como un intento de crear sospechas y sembrar desconfianza entre los afiliados, lo que en última instancia socava la confianza en el grupo dentro del ecosistema del cibercrimen.

Según una investigación publicada por Analyst1 en agosto de 2023, sí ensayo lo que sugiere que al menos tres personas diferentes operaban las cuentas «LockBit» y «LockBitSupp», una de las cuales es el propio líder de la pandilla.

Sin embargo, hablando con el grupo de investigación de malware VX-Underground, LockBit declarado «No creían que las autoridades conocieran su identidad». También aumentaron la recompensa ofrecida a cualquiera que pudiera enviarles sus nombres reales a 20 millones de dólares. Cabe señalar que la recompensa fue aumentó de $1 millón a $10 millones a finales del mes pasado.

LockBit – también llamado Gold Mystic e Selkie de agua – ha tenido varias iteraciones desde su creación en septiembre de 2019, a saber, LockBit Red, LockBit Black y LockBit Green, y el sindicato de delitos cibernéticos también desarrolló en secreto una nueva versión llamada LockBit-NG-Dev antes de que se desmantelara su infraestructura.

«LockBit-NG-Dev ahora está escrito en .NET y compilado usando CoreRT», Trend Micro Ella dijo. «Cuando se implementa junto con el entorno .NET, esto permite que el código sea más independiente de la plataforma. Eliminó las capacidades de autopropagación y la capacidad de imprimir notas de rescate a través de las impresoras de los usuarios».

Una de las adiciones notables es la inclusión de un período de validez, que continúa funcionando solo si la fecha actual cae dentro de un rango de fechas específico, lo que sugiere intentos por parte de los desarrolladores de evitar la reutilización de malware y resistir el análisis automatizado.

Se dice que el trabajo en la variante de próxima generación se vio impulsado por una serie de problemas logísticos, técnicos y de reputación, impulsados ​​principalmente por la filtración del creador de ransomware por parte de un desarrollador descontento en septiembre de 2022 y también por las dudas de que uno de sus directores pueda han sido reemplazados por agentes gubernamentales.

Tampoco ayudó que las cuentas administradas por LockBit fueran prohibidas en Exploit y XSS a fines de enero de 2024 por no pagarle a un corredor de acceso inicial que les proporcionó acceso.

«El demandante se presentó como alguien 'demasiado grande para quebrar' e incluso mostró desprecio hacia el árbitro que tomaría la decisión sobre el resultado de la demanda», dijo Trend Micro. «Este discurso demostró que LockBitSupp probablemente usa su reputación para ganar más influencia en la negociación del pago por el acceso o compartir el pago del rescate con los afiliados».

PRODAFT, en su propio análisis de Operation LockBit, dijo que había identificado más de 28 afiliados, algunos de los cuales comparten vínculos con otros grupos rusos de delincuencia electrónica como Evil Corp, FIN7 y Wizard Spider (también conocido como TrickBot).

Estas conexiones también se destacan por el hecho de que la pandilla operaba como una «muñeca nido» con tres niveles distintos, dando la percepción exterior de un esquema RaaS establecido que comprometía a docenas de afiliados mientras tomaba prestados de forma encubierta probadores de lápiz altamente capacitados de otros grupos de ransomware que suplantaban datos personales. alianzas.

La cortina de humo se materializó en la forma de lo que se llama el patrón Ghost Group, según los investigadores de RedSense Yelisey Bohuslavskiy y Marley Smith, con LockBitSupp sirviendo «como una mera distracción para las operaciones reales».

«Un grupo fantasma es un grupo que tiene capacidades muy altas pero las transfiere a otra marca, lo que permite al otro grupo subcontratarles las operaciones», dijeron. Ella dijo. “La versión más clara de esto es Zeon, quien subcontrató su experiencia a LockBit e akira«.

Se estima que el grupo ha obtenido más de 120 millones de dólares en ganancias ilícitas a lo largo de su actividad de varios años, emergiendo como el actor de ransomware más activo de la historia.

«Dado que los ataques confirmados por LockBit durante sus cuatro años de operación suman más de 2.000, esto sugiere que su impacto global es del orden de miles de millones de dólares», dijo la Agencia Nacional contra el Crimen (NCA) sobre el Reino Unido.

No hace falta decir que la Operación Cronos probablemente haya causado un daño irreparable a la capacidad del grupo criminal para continuar con las actividades de ransomware, al menos bajo su marca actual.

«La reconstrucción de la infraestructura es muy poco probable; el liderazgo de LockBit es técnicamente incapaz», dijo RedSense. «Las personas a las que delegaron el desarrollo de infraestructura abandonaron LockBit hace mucho tiempo, como se ve en el primitivismo de su infraestructura».

«[Initial access brokers]quien fue la fuente principal de la empresa de LockBit, no confiará en su acceso a un grupo después de una eliminación, ya que quieren que su acceso se convierta en dinero».