Le cerveau présumé de LockBit Ransomware a été identifié

« Non seulement il a pris l’argent pour lui, mais il l’a réinvesti pour développer son activité et la rendre plus attractive aux yeux des criminels », explique DiMaggio. Tout au long du cycle de vie de la suite LockBit, il y a eu deux mises à jour et versions majeures de ses logiciels malveillants, chacune étant plus performante et plus facile à utiliser que son prédécesseur. Analyse de l’opération de maintien de l’ordre avant La société de sécurité Trend Micro apparaît Il travaillait également sur une nouvelle version.

DiMaggio dit que la personne à qui il parlait en privé sous le surnom de LockBitSupp était « arrogante » mais « travaille très dur » – en plus d’envoyer des autocollants de chat dans le cadre des discussions. En public, sur les forums de cybercriminalité en langue russe où les pirates échangent des données et discutent des politiques et des actualités en matière de piratage, LockBitSupp était très différent, explique DiMaggio.

« Le personnage mis en avant sur les forums de hackers russes était une combinaison d’un super-vilain et de Tony Montana de Écharpedit DiMaggio. « Il se vantait de son succès et de son argent, et cela agaçait parfois les gens. »

En plus d’offrir une récompense pour avoir révélé leur propre identité, la partie la plus innovante et bizarre de LockBitSupp a également organisé un concours de rédaction d’articles sur des forums de hackers, offrant une « prime aux bogues » si les gens découvraient des failles dans le code de LockBit, et disant qu’ils paieraient 1 000 $. pour révéler leur identité. Toute personne ayant reçu le logo LockBit comme tatouage. Environ 20 personnes Publier des photos et des vidéos de leurs tatouages.

LockBitSupp a été banni de deux importants forums de cybercriminalité en langue russe en janvier après un certain temps Une plainte a été déposée concernant leur comportement. « Ils ont créé des partenaires, des partisans, des haineux et des pom-pom girls au fil des années », explique Victoria Kiveljevic, directrice de la recherche sur les menaces à la société de sécurité KELA.

Une analyse des forums sur la cybercriminalité réalisée par Kivelevich montre que les écosystèmes russophones ont eu des réactions mitigées, y compris la surprise lorsque LockBit a été piraté pour la première fois par les forces de l’ordre. « Les utilisateurs se sont réjouis que LockBit ait finalement échoué et ait obtenu ce qu’il méritait, soulignant ses déclarations dans lesquelles il se vantait de la façon dont [about how] LockBit « RaaS » est sécurisé et meilleur que tout autre processus, déclare Kiveljevic.

Le chercheur affirme que d’autres utilisateurs du forum ont remis en question les décisions techniques de LockBitSupp et leur coopération avec les forces de l’ordre. Il y avait des utilisateurs sur le forum dont la réaction était neutre, « la plupart d’entre eux ont déclaré que le processus n’affecterait pas beaucoup LockBit et que le processus continuerait », a déclaré Kiveljevic.

Déposer

Après que Cronos ait fermé LockBit en février, il n’a fallu que cinq jours à LockBitSupp pour créer des copies exactes du site de fuite du groupe. Puis le site a commencé à se remplir de victimes évidentes ; Le groupe LockBit ne semble pas avoir été affecté par l’accès de la police du monde entier à tous ses secrets internes.

De nombreux experts affirment que ces victimes récemment médiatisées ne sont pas ce qu’elles semblent être. « L’implication réelle des forces de l’ordre a été significative », déclare Matt Hall, responsable mondial du renseignement sur les menaces au sein de la société de cybersécurité NCC Group. ANC Il dit Le nombre d’affiliés à LockBit est tombé à 69 depuis sa suppression en février, tandis que l’acte d’accusation du ministère de la Justice indique que le nombre de victimes de LockBit a « considérablement diminué » depuis lors.

En outre, une grande partie de la crédibilité de la marque LockBit a été détruite. Hull dit qu’il voit les filiales et les petits groupes de ransomwares « commencer vraiment à se distancier » de LockBit et à se déplacer vers d’autres opérations RaaS. « Il est peu probable que nous voyions un autre grand nom comme LockBit émerger avec ce genre de chiffres, à moins qu’il n’y ait un changement de marque majeur ou un changement soudain de loyauté envers les individus derrière LockBit », a déclaré Hall.

Quant à LockBitSupp, il est peu probable qu’ils réagissent bien à leur identification publique. Lorsque l’opération Cronos a détruit les systèmes de LockBit en février, la police a réutilisé son site de fuite pour le publier. Détails sur le groupe lui-même. Après le retrait, selon l’acte d’accusation du ministère de la Justice, Khoroshev a contacté les forces de l’ordre, mais essayait « d’étouffer sa concurrence ».

L’acte d’accusation indique qu’il « a proposé ses services en échange d’informations sur l’identité de ses concurrents RaaS ». « Khoroshev a spécifiquement demandé aux autorités chargées de l’application des lois lors de cet échange, en substance et en substance »,[g]Donnez-moi les noms de mes ennemis. » Avant que les forces de l’ordre ne nomment Khoroshev, un compte à rebours est apparu sur le site Web, et LockBitSupp a répondu avec Des dizaines de victimes ont été publiées.

« LockBitSupp a beaucoup d’ennemis et de gens qui attendent de prendre sa place », explique DiMaggio, chercheur chez Analyst1, ajoutant qu’il est peu probable qu’ils arrêtent leurs actions, même s’il sera difficile de continuer. « Il est plus facile d’être une mauvaise personne quand personne ne sait qui on est. Sa réputation a été ruinée et il sera très difficile de s’en remettre.