La Agencia Nacional contra el Crimen (NCA) y sus agencias asociadas han revelado detalles limitados de la identidad de la cara pública de LockBit, LockBitSupp, a través del sitio de filtración de la red oscura de la pandilla, que tomó control a principios de esta semana en una eliminación aparentemente exitosa del notorio ransomware. pandilla, denominada Operación Cronos.
En una actualización que se retrasó varias horas, después de haber sido seguida durante días con un temporizador de cuenta regresiva, de manera similar a cómo pandillas como LockBit se burlaban de sus víctimas para que pagaran o filtraran sus datos, las agencias publicaron una actualización en el sitio hoy ( Viernes 23 de enero).
Aunque la NCA no llegó a nombrar directamente a LockBitSupp, su actualización desacreditó afirmaciones anteriores hechas por LockBitSupp de que vivía en los Países Bajos o los Estados Unidos y que conducía un Lamborghini.
«Conduce un Mercedes», decía la actualización, «aunque puede ser difícil conseguir piezas».
“Sabemos quién es. Sabemos dónde vive. Sabemos cuánto vale. LockBitSupp se ha comprometido con las autoridades”, agregaron.
El tono y el estilo de la actualización, que recuerda a las tácticas de los trolls de Internet y que invocan imágenes de gatos de dibujos animados, han sido claramente diseñados para inquietar a los miembros del equipo de LockBit y a sus afiliados que siguen prófugos, y se destaca tanto por lo que no dice. como lo que hace.
Si LockBitSupp realmente tiene dificultades para conseguir repuestos para un Mercedes, puede haber una implicación de que se encuentra en Rusia, un mercado del que salió el fabricante de automóviles tras la invasión de Ucrania. El indicio de que LockBitSupp se había comprometido con las autoridades podría sugerir que este individuo había cooperado con el derribo de alguna manera.
Ya se sabe que el individuo fue expulsado de varios foros de ciberdelincuentes a principios de 2024 y, según una investigación de Trend Micro, la pandilla había estado luchando por recuperar su estatus anterior después de una serie de reveses, incluida la filtración de su código base por parte de un desarrollador enojado.
En un artículo publicado en enero de 2023, el estratega jefe de seguridad de Analyst1, Jon DiMaggio, escribió que, basándose en meses de recopilación de inteligencia humana, evaluó que era probable que LockBitSupp pudieran ser dos personas, el líder de la pandilla y otro miembro central del grupo.
Basándose en sus interacciones con los operadores de ransomware, DiMaggio ha pintado la imagen de un individuo inseguro y egoísta al mando de LockBit.
Su extensa investigación también confirmó vínculos entre LockBitSupp y otros equipos de alto perfil de principios de la década de 2020, incluidos REvil/Sodinokibi, Conti, BlackMatter y ALPHV/BlackCat, entre otros.
Operación multimillonaria
Mientras tanto, la NCA también ha revelado más detalles de su análisis de la infraestructura de pagos de LockBit. Dijo que había confiscado 30.000 direcciones bitcoin de los sistemas de la pandilla, y 500 activas recibieron alrededor de £100 millones (a precios actuales). Un análisis más detallado también ha descubierto 2.200 bitcoins no gastados, lo que representa fondos de más de £90 millones.
La NCA dijo que la exposición de recepción de las direcciones analizadas representó el período desde julio de 2022 y descontó más de dos años de la ola de crímenes de LockBit, y señaló que un alto porcentaje de las direcciones representaban las tarifas que los afiliados pagaron a LockBit, los totales reales del rescate serían “mucho, mucho mayor”, y el impacto en las empresas, en consecuencia, más masivo.
Dado que ha habido más de 2.000 ataques LockBit confirmados, no es impensable que la banda haya podido obtener sumas multimillonarias.
Continuar leyendo: Trolls de la NCA bajo fuego contra los líderes de la pandilla LockBit