“Ele não simplesmente pegava dinheiro para si, mas reinvestia na desenvolvimento de sua operação e a tornava mais desejável para criminosos”, afirma DiMaggio. Ao longo do ciclo de vida do grupo LockBit, duas grandes atualizações e lançamentos de seu malware ocorreram, sendo que cada um era mais capaz e fácil de usar que o anterior. Análises da operação de aplicação da lei pela empresa de segurança Trend Micro mostram que eles estavam trabalhando em uma nova versão também.
DiMaggio diz que a pessoa com quem ele estava falando em particular usando o apelido LockBitSupp era “arrogante”, mas “tudo era profissional e muito sério”, exceto ao enviar adesivos de gato nas conversas. Publicamente, nos fóruns russos de cibercrime onde hackers trocam dados e discutem política de hacking e notícias, LockBitSupp era completamente diferente, afirma DiMaggio.
“A persona que ele apresentava nos fóruns russos de hacking era uma mistura de um super vilão e Tony Montana de Scarface”, diz DiMaggio. “Ele ostentava seu sucesso e dinheiro, o que às vezes incomodava as pessoas”.
Além de definir uma recompensa por sua própria identidade, o lado mais inovador e instável de LockBitSupp também organizou uma competição de redação nos fóruns de hacking, ofereceu uma “recompensa por bugs” caso as pessoas encontrassem falhas no código do LockBit e disse que pagaria US$ 1.000 a quem fizesse uma tatuagem do logo do LockBit. Cerca de 20 pessoas postaram fotos e vídeos de suas tatuagens.
Pouco tempo depois da aplicação da lei afirmar ter revelado a identidade de LockBitSupp, DiMaggio publicou novas pesquisas sobre Khoroshev. Usando uma informação que ele recebeu, além de inteligência de fontes abertas e informações vazadas na dark web, DiMaggio encontrou perfis de mídia social e mais informações pessoais que se acredita estarem ligadas ao nacional russo.
“Ele possui várias empresas legítimas, também baseadas em Voronezh, dirige um Mercedes e já possuía um Mazda 6, e não um lambo, como ele frequentemente se gabava”, escreve DiMaggio na pesquisa. Um dos endereços de e-mail incluídos nas sanções tem links para um negócio de e-commerce com sede na Rússia registrado em nome de Khoroshev, ele escreve. Várias outras emails e números de telefone estavam conectados a esses detalhes, diz a pesquisa de DiMaggio.
LockBitSupp foi banido de dois proeminentes fóruns de cibercrime em língua russa em janeiro, após uma reclamação ser feita sobre seu comportamento.
“Eles fizeram parceiros, apoiadores, haters e fãs ao longo dos anos”, diz Victoria Kivilevich, diretora de pesquisa de ameaças da empresa de segurança KELA.
Uma análise dos fóruns de cibercrime por Kivilevich mostra que os ecossistemas de língua russa tiveram respostas mistas, incluindo surpresa quando o LockBit foi comprometido pela aplicação da lei.
“Usuários comemorando que o LockBit finalmente falhou e conseguiu o que merecia, fazendo referências às suas declarações onde ele se gabava de como o ‘LockBit RaaS’ é seguro e melhor do que qualquer outra operação,” diz Kivilevich.
Outros usuários dos fóruns questionaram as decisões técnicas de LockBitSupp e se haviam colaborado com a aplicação da lei, disse o pesquisador. Havia usuários dos fóruns que reagiram de forma neutra, “principalmente dizendo que a operação não afetará muito o LockBit e que a operação continuará existindo”, afirma Kivilevich.
Queda
Depois que a Operação Cronos tirou o LockBit do ar em fevereiro, LockBitSupp levou apenas cinco dias para criar versões replicadas do site de vazamento do grupo. O site então começou a ser preenchido com supostas vítimas; parecia que o grupo LockBit não tinha sido afetado ao ter todos os seus segredos internos acessados pela polícia ao redor do mundo.
Estas vítimas recentemente postadas não são o que parecem, no entanto, dizem vários especialistas. “A intervenção efetiva da aplicação da lei foi significativa,” diz Matt Hull, chefe global de inteligência de ameaças da empresa de cibersegurança NCC Group. A NCA diz que o número de afiliados do LockBit caiu para 69 desde sua desarticulação em fevereiro, enquanto a acusação do DOJ diz que o número de vítimas do LockBit “diminuiu consideravelmente” desde então.
