“Si usted es un ciberdelincuente y opera en estos mercados, foros o plataformas, no puede estar seguro de que las fuerzas del orden no estén allí observándolo y tomando medidas contra usted”, dice Paul Foster, director de la NCA. Unidad Nacional de Delitos Cibernéticos.
Aumento del apoyo
LockBit surgió por primera vez en 2019 como una incipiente plataforma de “ransomware como servicio” (RaaS). Bajo esta configuración, un grupo central de individuos, organizados por el identificador LockBitSupp, crearon el malware fácil de usar del grupo y lanzaron su sitio web de filtración. Este grupo otorga licencias del código de LockBit para “afiliar” a piratas informáticos que lanzaron ataques y negociaron pagos de rescate, proporcionando finalmente a LockBit alrededor del 20 por ciento de sus ganancias.
A pesar de lanzar miles de ataques, el grupo inicialmente intentó mantener un perfil bajo en comparación con otros grupos de ransomware. Con el tiempo, a medida que LockBit se hizo más conocido y comenzó a dominar el ecosistema del cibercrimen, sus miembros se volvieron más descarados y posiblemente descuidados. El investigador principal de la NCA dice que extrajeron datos sobre 194 afiliados de los sistemas de LockBit y están reconstruyendo sus identidades fuera de línea; sólo 114 de ellos no ganaron dinero, dice el investigador. “Había algunos que eran incompetentes y no perpetraban ataques”, dicen.
En el centro de todo estaba la personalidad de LockBitSupp. El investigador de la NCA dice que hubo “numerosos” ejemplos en los que el administrador de LockBit “asumió directamente la responsabilidad” de negociaciones de alto perfil o de alto rescate después de que los afiliados hubieran atacado inicialmente a las empresas u organizaciones.
Jon DiMaggio, investigador de la empresa de ciberseguridad Analyst1, ha pasado años investigando LockBit y comunicándose con el identificador LockBitSupp. “Lo trataba como un negocio y a menudo buscaba comentarios de sus socios afiliados sobre cómo podría hacer que la operación criminal fuera más efectiva”, dice DiMaggio. El personaje de LockBitSupp preguntaba a los afiliados qué necesitaban para hacer su trabajo de manera más efectiva, dice el investigador.
“No se limitó a tomar dinero para sí mismo, sino que lo reinvirtió en el desarrollo de su operación y en hacerla más atractiva para los delincuentes”, dice DiMaggio. A lo largo del ciclo de vida del grupo LockBit, se produjeron dos actualizaciones y lanzamientos importantes de su malware, cada uno de ellos más capaz y más fácil de usar que el anterior. Análisis de la operación policial por La empresa de seguridad Trend Micro muestra También estaba trabajando en una nueva versión.
DiMaggio dice que la persona con la que estaba hablando en privado usando el apodo de LockBitSupp era “arrogante” pero “muy profesional y muy seria”, además de enviar calcomanías de gatos como parte de los chats. Públicamente, en los foros sobre cibercrimen en ruso donde los piratas informáticos intercambian datos y discuten sobre política y noticias sobre piratería, LockBitSupp fue completamente diferente, dice DiMaggio.
“La personalidad que amplificó en los foros de piratería rusos era una mezcla de supervillano y Tony Montana de Caracortada”, dice DiMaggio. “Hizo alarde de su éxito y su dinero, y eso a veces molestaba a la gente”.
Además de establecer una recompensa por su propia identidad, el lado más innovador y errático de LockBitSupp también organizó un concurso de redacción de ensayos en los foros de piratería, ofreció una “recompensa por errores” si la gente encontraba fallas en el código de LockBit y dijo que pagarían $1,000 para cualquiera que se haya tatuado el logo de LockBit. Alrededor de 20 personas publicó fotos y videos de sus tatuajes..