LockBitSupp, de persoon(en) achter de persona die de LockBit-ransomwareservice vertegenwoordigt op cybercrimeforums zoals Exploit en XSS, “heeft zich beziggehouden met wetshandhaving”, aldus de autoriteiten.
De ontwikkeling volgt op de verwijdering van de productieve ransomware-as-a-service (RaaS)-operatie als onderdeel van een gecoördineerde internationale operatie met de codenaam Cronos. Meer dan 14.000 frauduleuze accounts op diensten van derden, zoals Mega, Protonmail en Tutanota, die door de criminelen worden gebruikt, zijn gesloten.
“We weten wie hij is. We weten waar hij woont. We weten hoeveel hij waard is. LockbitSupp heeft de wetshandhaving ingeschakeld”, aldus een bericht op de inmiddels in beslag genomen (en offline) dataleksite op het dark web.
De verhuizing is geweest geïnterpreteerd door langetermijnwaarnemers van LockBit als een poging om argwaan te wekken en het zaad van wantrouwen te zaaien onder de aangesloten bedrijven, waardoor uiteindelijk het vertrouwen in de groep binnen het ecosysteem van cybercriminaliteit wordt ondermijnd.
Volgens onderzoek gepubliceerd door Analyst1 in augustus 2023 zijn er aanwijzingen dat ten minste drie verschillende mensen de “LockBit”- en “LockBitSupp”-accounts hebben beheerd, waarvan er één de leider van de bende zelf is.
Echter, in gesprek met malware-onderzoeksgroep VX-Underground, LockBit verklaard “Ze geloofden niet dat de politie zijn/haar/hun identiteit kende.” Ze verhoogden ook de beloning die het bood aan iedereen die hen hun echte naam kon sturen tot $ 20 miljoen. Het is vermeldenswaard dat de beloning eind vorige maand werd verhoogd van $1 miljoen USD naar $10 miljoen.
LockBit – ook wel Gold Mystic en Water Selkie genoemd – heeft sinds de oprichting in september 2019 verschillende iteraties gehad, namelijk LockBit Red, LockBit Black en LockBit Green, waarbij het cybercriminaliteitssyndicaat ook in het geheim een nieuwe versie ontwikkelde genaamd LockBit-NG-Dev. de infrastructuur wordt ontmanteld.
“LockBit-NG-Dev is nu geschreven in .NET en gecompileerd met behulp van CoreRT”, aldus Trend Micro. “Als de code naast de .NET-omgeving wordt ingezet, kan deze meer platformonafhankelijk zijn. Het verwijdert de mogelijkheden om zichzelf te verspreiden en de mogelijkheid om losgeldbriefjes af te drukken via de printers van de gebruiker.”
Een van de opmerkelijke toevoegingen is de opname van een geldigheidsperiode, die alleen doorgaat als de huidige datum binnen een specifiek datumbereik valt, wat erop wijst dat de ontwikkelaars proberen het hergebruik van de malware te voorkomen en zich te verzetten tegen geautomatiseerde analyse. .
Het werk aan de variant van de volgende generatie zou zijn aangewakkerd door een aantal logistieke, technische en reputatieproblemen, met name veroorzaakt door het lekken van de ransomware-bouwer door een ontevreden ontwikkelaar in september 2022 en ook door twijfels die een van zijn beheerders mogelijk heeft. vervangen door overheidsagenten.
Het hielp ook niet dat de door LockBit beheerde accounts eind januari 2024 werden verbannen uit Exploit en XSS omdat ze niet hadden betaald aan een initiële toegangsmakelaar die hen toegang verleende.
“De acteur kwam over als iemand die ’too big to fail’ was en toonde zelfs minachting tegenover de arbiter die de beslissing zou nemen over de uitkomst van de claim”, aldus Trend Micro. “Dit discours toonde aan dat LockBitSupp waarschijnlijk hun reputatie gebruikt om meer gewicht in de schaal te leggen bij het onderhandelen over de betaling voor toegang of het deel van de losgeldbetalingen met aangesloten bedrijven.”
PRODAFT zei in zijn eigen analyse van de LockBit-operatie meer dan 28 aangesloten bedrijven te hebben geïdentificeerd, van wie sommigen banden delen met andere Russische e-crime-groepen zoals Evil Corp, FIN7 en Wizard Spider (ook bekend als TrickBot).
Deze connecties worden ook bewezen door het feit dat de bende opereerde als een ‘nesting doll’ met drie verschillende lagen, waardoor een uiterlijke indruk werd gegeven van een gevestigd RaaS-plan dat tientallen aangesloten bedrijven in gevaar bracht, terwijl het heimelijk zeer bekwame pentesters van andere ransomware-groepen leende door persoonlijke gegevens te vervalsen. allianties.
Het rookgordijn manifesteerde zich in de vorm van een zogenaamd Ghost Group-model, volgens RedSense-onderzoekers Yelisey Bohuslavskiy en Marley Smith, waarbij LockBitSupp ‘slechts diende als afleiding voor daadwerkelijke operaties’.
“Een Ghost Group is een groep die over zeer hoge capaciteiten beschikt, maar deze overdraagt aan een ander merk door de andere groep toe te staan activiteiten aan hen uit te besteden”, zeiden ze. “De duidelijkste versie hiervan is Zeon, die zijn vaardigheden heeft uitbesteed aan LockBit en Akira.”
De groep heeft naar schatting ruim 120 miljoen dollar aan illegale winsten gemaakt in zijn meerjarige periode, en is daarmee uitgegroeid tot de meest actieve ransomware-speler in de geschiedenis.
“Gegeven het feit dat het aantal bevestigde aanvallen door LockBit gedurende de vier jaar dat LockBit actief is in totaal ruim 2.000 bedraagt, suggereert dit dat hun impact wereldwijd in de buurt van miljarden dollars ligt”, aldus de Britse National Crime Agency (NCA).
Het behoeft geen betoog dat Operatie Cronos waarschijnlijk onherstelbare schade heeft toegebracht aan het vermogen van de criminele organisatie om door te gaan met ransomware-activiteiten, althans onder de huidige merknaam.
“De wederopbouw van de infrastructuur is zeer onwaarschijnlijk; het leiderschap van LockBit is technisch zeer onbekwaam”, aldus RedSense. “Mensen aan wie ze hun infrastructurele ontwikkeling hebben gedelegeerd, hebben LockBit al lang verlaten, zoals blijkt uit het primitivisme van hun infrastructuur.”
“[Initial access brokers]die de belangrijkste bron van LockBit’s onderneming waren, zullen hun toegang tot een groep na een takedown niet vertrouwen, omdat ze willen dat hun toegang in contanten wordt omgezet.
