“Ele não simplesmente pegava dinheiro para si, mas o reinvestia no desenvolvimento de sua operação e tornando-a mais desejável para criminosos”, afirmou DiMaggio. Ao longo do ciclo de vida do grupo LockBit, ocorreram dois grandes updates e lançamentos de seu malware, com cada um mais capaz e mais fácil de usar que o anterior. Análises da operação de aplicação da lei pela empresa de segurança Trend Micro mostram que também estavam trabalhando em uma nova versão.
DiMaggio descreve que a pessoa com quem ele estava falando particularmente usando o apelido LockBitSupp era “arrogante”, mas “muito séria e focada nos negócios”, embora enviasse adesivos de gato em suas conversas. Publicamente, nos fóruns de cibercrime em russo, onde hackers trocam dados e discutem política e notícias hacker, o LockBitSupp era completamente diferente, segundo DiMaggio.
“A persona que ele ampliava nos fóruns de hacking russo era uma mistura de supervilão e Tony Montana do ‘Scarface'”, afirma DiMaggio. “Ele ostentava seu sucesso e dinheiro, o que irritava as pessoas em alguns momentos”.
Além de oferecer uma recompensa por sua própria identidade, o lado mais inovador e errático do LockBitSupp também organizou uma competição de redação nos fóruns de hacking, ofereceu um “bug bounty” para quem encontrasse falhas no código do LockBit e disse que pagaria $1.000 para quem fizesse uma tatuagem do logo do LockBit. Cerca de 20 pessoas postaram fotos e vídeos de suas tatuagens.
Pouco depois de a aplicação da lei ter revelado a identidade do LockBitSupp, DiMaggio publicou novas pesquisas sobre Khoroshev. Com base numa denúncia que recebeu, além de informações de código aberto e vazadas na dark web, DiMaggio encontrou perfis de redes sociais e informações pessoais adicionais ligadas ao cidadão russo.
“Ele possui vários negócios legítimos, também localizados em Voronezh, dirige um Mercedes e anteriormente possuía um Mazda 6, não um lambo como ele costumava se vangloriar”, escreve DiMaggio na pesquisa. Um dos endereços de e-mail incluídos nas sanções tem ligação com um negócio de e-commerce sediado na Rússia registrado em nome de Khoroshev. Várias outras emails e números de telefone estavam ligados a esses detalhes, de acordo com a pesquisa de DiMaggio.
LockBitSupp foi banido de dois fóruns proeminentes de cibercrime em russo em janeiro após uma reclamação sobre seu comportamento. “Eles fizeram parceiros, apoiadores, inimigos e fãs ao longo dos anos”, afirma Victoria Kivilevich, diretora de pesquisa de ameaças da empresa de segurança KELA.
A análise dos fóruns de cibercrime de Kivilevich mostra que os ecossistemas de língua russa tiveram respostas mistas, incluindo surpresa quando o LockBit foi comprometido pela aplicação da lei. “Usuários zombavam que o LockBit finalmente falhou e recebeu o que merecia, fazendo referência às declarações em que ele se gabava de como o LockBit ‘RaaS’ era seguro e melhor do que qualquer outra operação”, diz Kivilevich.
Outros usuários dos fóruns questionaram as decisões técnicas do LockBitSupp e se eles haviam colaborado com a aplicação da lei. Havia usuários do fórum que reagiram de forma neutra, “dizendo principalmente que a operação não afetará muito o LockBit e que continuará a existir”, segundo Kivilevich.
Após a Operação Cronos tirar o LockBit do ar em fevereiro, LockBitSupp levou apenas cinco dias para criar versões replicadas do site de vazamentos do grupo. O site então começou a ser preenchido com supostas vítimas; parecia que o grupo LockBit não tinha sido afetado por ter todos os seus segredos internos acessados pela polícia em todo o mundo.
No entanto, as vítimas postadas recentemente não são o que parecem, afirmam múltiplos especialistas. “A intervenção real da aplicação da lei foi significativa”, diz Matt Hull, chefe global de inteligência de ameaças na empresa de cibersegurança NCC Group. A NCA diz que o número de afiliados do LockBit diminuiu para 69 desde sua ação em fevereiro, enquanto a acusação do DOJ afirma que o número de vítima do LockBit diminuiu drasticamente desde então.
