LockBitSupp, el individuo detrás de la persona que representa el servicio de ransomware LockBit en foros de cibercrimen como Exploit y XSS, «se ha comprometido con las autoridades», dijeron las autoridades.
El desarrollo se produce tras la eliminación de la prolífica operación de ransomware como servicio (RaaS) como parte de una operación internacional coordinada con nombre en código Cronos. Se han cerrado más de 14.000 cuentas fraudulentas en servicios de terceros como Mega, Protonmail y Tutanota utilizados por los delincuentes.
«Sabemos quién es. Sabemos dónde vive. Sabemos cuánto vale. LockbitSupp se ha comprometido con las autoridades», según un mensaje publicado en el sitio de fuga de datos de la web oscura ahora incautado (y fuera de línea).
El movimiento ha sido interpretado por observadores de LockBit desde hace mucho tiempo como un intento de crear sospechas y sembrar las semillas de la desconfianza entre los afiliados, lo que en última instancia socava la confianza en el grupo dentro del ecosistema del cibercrimen.
Según una investigación publicada por Analyst1 en agosto de 2023, existe evidencia sugerir que al menos tres personas diferentes han operado las cuentas «LockBit» y «LockBitSupp», siendo uno de ellos el propio líder de la pandilla.
Sin embargo, hablando con el grupo de investigación de malware VX-Underground, LockBit fijado «No creían que las autoridades conocieran sus identidades». También aumentaron la recompensa que ofrecía a cualquiera que pudiera enviarles un mensaje con sus nombres reales a 20 millones de dólares. Vale la pena señalar que la recompensa fue aumentó de $1 millón de dólares a $10 millones a finales del mes pasado.
LockBit – también llamado Gold Mystic y Selkie de agua – ha tenido varias iteraciones desde su creación en septiembre de 2019, a saber, LockBit Red, LockBit Black y LockBit Green, y el sindicato de delitos cibernéticos también desarrolló en secreto una nueva versión llamada LockBit-NG-Dev antes de que se desmantelara su infraestructura.
«LockBit-NG-Dev ahora está escrito en .NET y compilado usando CoreRT», Trend Micro dicho. «Cuando se implementa junto con el entorno .NET, esto permite que el código sea más independiente de la plataforma. Eliminó las capacidades de autopropagación y la capacidad de imprimir notas de rescate a través de las impresoras del usuario».
Una de las adiciones notables es la inclusión de un período de validez, que continúa funcionando solo si la fecha actual está dentro de un rango de fechas específico, lo que sugiere intentos por parte de los desarrolladores de evitar la reutilización del malware y resistir el análisis automatizado. .
Se dice que el trabajo en la variante de próxima generación se vio impulsado por una serie de problemas logísticos, técnicos y de reputación, principalmente impulsados por la filtración del creador de ransomware por parte de un desarrollador descontento en septiembre de 2022 y también por las dudas de que uno de sus administradores pueda tener sido reemplazados por agentes del gobierno.
Tampoco ayudó que las cuentas administradas por LockBit fueran prohibidas en Exploit y XSS hacia fines de enero de 2024 por no pagarle a un corredor de acceso inicial que les proporcionó acceso.
«El actor se mostró como alguien que era ‘demasiado grande para fracasar’ e incluso mostró desdén hacia el árbitro que tomaría la decisión sobre el resultado de la demanda», dijo Trend Micro. «Este discurso demostró que LockBitSupp probablemente esté usando su reputación para tener más peso al negociar el pago por el acceso o la parte del pago del rescate con los afiliados».
PRODAFT, en su propio análisis de la operación LockBit, dijo que identificó a más de 28 afiliados, algunos de los cuales comparten vínculos con otros grupos rusos de delitos electrónicos como Evil Corp, FIN7 y Wizard Spider (también conocido como TrickBot).
Estas conexiones también se evidencian en el hecho de que la pandilla operaba como una «muñeca nido» con tres capas distintas, dando una percepción exterior de un esquema RaaS establecido que comprometía a docenas de afiliados mientras tomaba prestados sigilosamente probadores de lápiz altamente calificados de otros grupos de ransomware falsificando información personal. alianzas.
La cortina de humo se materializó en la forma de lo que se llama un modelo de Grupo Fantasma, según los investigadores de RedSense Yelisey Bohuslavskiy y Marley Smith, con LockBitSupp sirviendo «como una mera distracción para las operaciones reales».
«Un Grupo Fantasma es un grupo que tiene capacidades muy altas pero las transfiere a otra marca permitiendo que el otro grupo les subcontrate las operaciones», afirman. dicho. «La versión más clara de esto es Zeon, que ha estado subcontratando sus habilidades a LockBit y akira«.
Se estima que el grupo ha obtenido más de 120 millones de dólares en ganancias ilícitas en su trayectoria de varios años, emergiendo como el actor de ransomware más activo de la historia.
«Dado que los ataques confirmados por LockBit durante sus cuatro años de funcionamiento suman más de 2.000, esto sugiere que su impacto global es del orden de miles de millones de dólares», dijo la Agencia Nacional contra el Crimen del Reino Unido (NCA).
No hace falta decir que la Operación Cronos probablemente haya causado un daño irreparable a la capacidad del grupo criminal para continuar con las actividades de ransomware, al menos bajo su marca actual.
«La reconstrucción de la infraestructura es muy poco probable; el liderazgo de LockBit es muy incapaz técnicamente», dijo RedSense. «Las personas en quienes delegaron su desarrollo de infraestructura hace tiempo que abandonaron LockBit, como lo demuestra el primitivismo de su infraestructura».
«[Initial access brokers]que fueron la fuente principal de la empresa de LockBit, no confiarán en su acceso a un grupo después de un derribo, ya que quieren que su acceso se convierta en efectivo».