Ele não simplesmente pegou dinheiro para si, mas reinvestiu na operação e a tornou mais desejável para criminosos, disse DiMaggio. Durante o ciclo de vida do grupo LockBit, duas grandes atualizações e lançamentos de seu malware aconteceram, sendo cada uma mais capaz e fácil de usar que a anterior. Uma análise realizada pela empresa de segurança Trend Micro mostra que estavam trabalhando em uma nova versão também.
DiMaggio diz que a pessoa com quem estava falando usando o pseudônimo LockBitSupp era “arrogante”, mas “todo negócio e muito sério” — exceto por enviar adesivos de gatos durante as conversas. Publicamente, nos fóruns de cibercrime em russo, onde hackers trocam dados e discutem política e notícias de hacking, LockBitSupp era totalmente diferente, disse DiMaggio.
“A persona que ele amplificava nos fóruns russos de hacking era uma mistura de um super vilão e Tony Montana de Scarface”, disse DiMaggio. “Ele ostentava seu sucesso e dinheiro, o que irritava as pessoas às vezes.”
Além de estabelecer uma recompensa por sua própria identidade, o lado mais inovador e errático de LockBitSupp também organizou uma competição de redação nos fóruns de hacking, ofereceu uma “recompensa por bug” para quem encontrasse falhas no código do LockBit e disse que pagaria US$1.000 para quem fizesse uma tatuagem do logotipo do LockBit. Cerca de 20 pessoas postaram fotos e vídeos de suas tatuagens.
Logo depois que a aplicação da lei afirmou ter revelado a identidade de LockBitSupp, DiMaggio publicou uma nova pesquisa sobre Khoroshev. Usando uma dica que recebeu, além de inteligência de fontes abertas e informações vazadas na dark web, DiMaggio encontrou perfis de mídias sociais e informações pessoais adicionais relacionadas ao nacional russo.
“Ele possui vários negócios legítimos, também baseados em Voronezh, dirige um Mercedes e anteriormente possuía um Mazda 6, não um lambo como ele costuma se gabar”, escreveu DiMaggio na pesquisa. Um dos endereços de e-mail incluídos nas sanções tem links com uma empresa de e-commerce com sede na Rússia registrada em nome de Khoroshev, disse ele. Várias outras contas de e-mail e números de telefone estavam conectados a esses detalhes, diz a pesquisa de DiMaggio.
LockBitSupp foi banido de dois proeminentes fóruns de cibercrime em russo em janeiro depois que uma reclamação foi feita sobre seu comportamento. “Eles fizeram parceiros, apoiadores, inimigos e fãs ao longo dos anos”, disse Victoria Kivilevich, diretora de pesquisa de ameaças na empresa de segurança KELA.
A análise dos fóruns de cibercrime por Kivilevich mostra que os ecossistemas em russo tiveram diferentes respostas, incluindo surpresa quando o LockBit foi comprometido pela aplicação da lei. “Usuários zombando que o LockBit finalmente falhou e recebeu o que merecia, fazendo referências a suas declarações em que ele se gabava de como o LockBit ‘RaaS’ é seguro e melhor do que outras operações”, disse Kivilevich.
Outros usuários dos fóruns questionaram as decisões técnicas de LockBitSupp e se eles tinham colaborado com a aplicação da lei, disse a pesquisadora. Havia usuários do fórum que reagiram de forma neutra, “principalmente dizendo que a operação não afetará muito o LockBit e que a operação continuará a existir”, disse Kivilevich.
Queda:
Depois que a Operação Cronos tirou o LockBit do ar em fevereiro, LockBitSupp levou apenas cinco dias para criar versões replicadas do site de vazamentos do grupo. O site então começou a ser preenchido com supostas vítimas; parecia que o grupo LockBit não havia sido impactado por ter todos os seus segredos internos acessados por policiais de todo o mundo.
No entanto, essas vítimas recentemente publicadas não são o que parecem, afirmam vários especialistas. “A intervenção real da aplicação da lei foi significativa”, disse Matt Hull, chefe global de inteligência de ameaças na empresa de cibersegurança NCC Group. A NCA diz que o número de afiliados do LockBit caiu para 69 desde a intervenção de fevereiro, enquanto a acusação do DOJ diz que o número de vítimas do LockBit “diminuiu consideravelmente” desde então.
