https://analyst1-com.translate.goog/ran … r_pto=wapp
tem um relatório muito grande então não vou colocar tudo aqui. aqui está o grande problema:
dois membros da gangue LockBit, um líder e outro membro principal, provavelmente comandam a persona LockBitSupp.
Neste relatório, discutimos a interação e o comportamento observados pelo personagem LockBitSupp. Uma das dúvidas frequentes dos criminosos é se quem está por trás da pessoa é o líder da quadrilha, como ela afirma, ou se são várias pessoas. Alguns criminosos assumem que a persona nada mais é do que uma ferramenta de relações públicas; no entanto, não concordo com esta avaliação. Pode haver várias pessoas por trás dessa conta, mas, se houver, elas são membros importantes da gangue. O personagem tem um alto nível de conhecimento sobre as atividades da gangue e acesso a materiais confidenciais que só um membro de alto escalão tem.
Acredito que haja um líder de gangue por trás da identidade LockBitSupp e às vezes outro membro a preenche para manter o perfil ativo e interagir com a comunidade criminosa. Acredito nisso porque são poucos os casos em que um personagem se contradiz e comete erros. Em outros casos, acredito que as contradições são deliberadamente confusas para policiais e pesquisadores como eu.
Por exemplo, lembre-se do incidente que discuti anteriormente, em que o personagem LockBitSupp alegou ter comprado o código-fonte do BlackMatter e, alguns meses depois, alegou tê-lo recebido gratuitamente de um desenvolvedor de ransomware. Acredito que outro membro da gangue usou essa identidade para conduzir a entrevista por meio da identidade LockBitSupp e não do líder da gangue. Essa pessoa não esperava uma pergunta sobre como obteve o código-fonte e respondeu incorretamente. Isso desencadeou uma série de eventos que acabaram levando o desenvolvedor a vazar o código-fonte do LockBit em seu criador de ransomware.
O LockBit NÃO gerenciava as operações do ransomware Gogalocker e Magacortex, conforme declarado em relatórios anteriores de fornecedores de segurança. A atribuição foi derivada de evidências fracas muito amplas para atribuição. Além disso, após uma série de prisões de membros associados ao Gogaloker, não existem evidências ou alegações que liguem as operações entre si.
O LockBit está associado a várias gangues de ransomware notórias:
LockBit conhece pessoalmente as identidades dos principais membros das gangues de ransomware DarkSide, BlackMatter e BlackCat. Ele também tinha laços estreitos com os principais líderes que anteriormente dirigiam a gangue de extorsão REvil. Além disso, a LockBit afirma que outro criminoso popular, bastante conhecido na comunidade criminosa, está ligado à liderança da antiga quadrilha Conti, hoje BlackBasta. Lockbit também afirma que o homem e outros membros importantes da antiga gangue Conti estão trabalhando para o FSB-93.
LockBit interagia e frequentemente se comunicava com o personagem REvil "O Desconhecido", entre outros, que se acredita ser o líder da gangue. LockBit não acredita que a pessoa atualmente executando o REvil seja o verdadeiro líder do REvil.
LockBit confirmou que os principais membros do DarkSide eram os mesmos indivíduos por trás do ransomware BlackMatter e BlackCat. A LockBit também confirmou que o BlackBasta é administrado pelas mesmas pessoas que comandavam a antiga operação de extorsão da Conti. Embora a comunidade de segurança já tenha feito essas conexões por meios técnicos, a interpretação de LockBit é baseada nas relações humanas com os membros que compõem essas gangues, o que torna essa associação mais significativa.
A LockBit não comprou o código-fonte do BlackMatter como pretendido, mas obteve acesso a ele de seu desenvolvedor em novembro de 2021.
O desenvolvedor do ransomware DarkSide é a mesma pessoa que desenvolveu o ransomware BlackMatter e LockBit Black e desenvolveu anteriormente o malware para Fin7, outro grupo de cibercriminosos.
Um desenvolvedor que vazou recentemente o ransomware LockBit deve ser um dos principais alvos da aplicação da lei e das operações do governo .
O desenvolvedor tem laços estreitos com o ransomware russo e com a comunidade de cibercrimes organizados.
O indivíduo já havia desenvolvido o malware Fin7 e, em seguida, criou o ransomware DarkSide que foi usado no ataque Colonial Pipeline e, em seguida, desenvolveu o ransomware para operações de ransomware BlackMatter antes de ingressar na LockBit para criar o LockBit Black.
Essa pessoa (desenvolvedor) desertou do BlackMatter e do LockBit e agora pode se esconder.
Esse indivíduo fornecerá a melhor chance de se tornar um participante importante com conhecimento interno das operações humanas e técnicas que abrangem grandes sindicatos do crime cibernético. Tanto o BlackMatter quanto o LockBit já ameaçaram o desenvolvedor anteriormente.
O desenvolvedor tem informações sobre a identidade da liderança de LockBit e DarkSide e possivelmente Fin7. A liderança dessas gangues provavelmente também conhece a identidade do desenvolvedor. O fato de nem LockBit nem BlackMatter terem tentado Dox ou, pior ainda, ferir fisicamente o desenvolvedor indica que ele provavelmente tem informações que poderiam ser usadas contra essas gangues se algo acontecesse com ele. . (Não conheço esse fato, mas faz sentido e foi sugerido por fontes próximas às partes envolvidas.)
Além disso, o LockBit ameaçou o desenvolvedor, mas nunca o fez, mesmo depois que o desenvolvedor vazou o código-fonte.
Outra parte, que é bem conhecida e conectada a cibercriminosos e tem laços estreitos com o desenvolvedor, compartilhou informações privilegiadas, afirmando que o desenvolvedor lhe disse diretamente que ele realmente vazou o código-fonte do coletor de ransomware LockBit depois que LockBit se recusou a pagar a ele o quantia que foi acordada.
Atributos do desenvolvedor:
Homem, provavelmente na casa dos 30 anos, residente na Rússia ou em um antigo estado da CEI na Europa Oriental.
Serviu em uma unidade militar, onde realizou trabalhos que exigiam alto nível de conhecimento técnico
Anteriormente condenado por crimes e pode ter cumprido uma pena curta na prisão.
Casado e tem filhos
Supostamente administra seu próprio site obscuro para encontrar trabalho, indicando que ele provavelmente trabalha para outros criminosos além do LockBit.
O desenvolvedor apresentou sua versão da história e detalhou a linha do tempo e a sequência de eventos operacionais desde o momento em que ele desertou da BlackMatter até o momento em que ele e a LockBit entraram em uma discussão que resultou no encerramento da operação. A transcrição de seu discurso pode ser encontrada no anexo a este relatório.
O desenvolvedor apresentou sua versão da história e detalhou a linha do tempo e a sequência de eventos operacionais desde o momento em que ele desertou da BlackMatter até o momento em que ele e a LockBit entraram em uma discussão que resultou no encerramento da operação. A transcrição de seu discurso pode ser encontrada no anexo a este relatório.
De acordo com um ex-desenvolvedor do LockBit, desde que ele deixou a empresa, o LockBit não oferece suporte ao LockBit 3.0.
Se verdadeiro, isso pode ser usado contra o LockBit. \
Enquanto a atividade do LockBit continua a dominar o ecossistema de ransomware, muitos criminosos estão fartos da liderança de gangues e palhaçadas públicas.
O líder do LockBitSupp afirma armazenar sua chave PGP privada e carteira multisig em uma unidade flash oculta. A carteira requer senhas, que, como ele disse em uma conversa anterior, têm 50 caracteres e são geradas aleatoriamente. Também requer um arquivo de chave, que ele diz estar em outro pen drive que usa em volta do pescoço de lã vermelha. Ele usa lã para arrancar e engolir rapidamente um pen drive após ser preso. Quem sabe se isso é verdade, mas ele definitivamente pensou muito sobre a história. Você pode ver suas declarações na Figura 27 abaixo.
entrada final
O LockBit não vai desaparecer tão cedo. Apesar dos recentes comentários negativos de membros da comunidade criminosa, a LockBit está executando uma operação lucrativa que atrai os cibercriminosos. A interface gráfica de apontar e clicar fácil de usar integrada ao console de gerenciamento de ataque permite que os criminosos lancem ataques de ransomware corporativo de forma rápida e eficiente, exigindo muito menos conhecimento técnico do que nunca. Além disso, o modelo de pagamento controlado por afiliados constrói a confiança dos cibercriminosos e garante que eles sejam pagos por seu trabalho. No entanto, se algum desses serviços ou componentes do programa RaaS mudar, como não atualizar ransomware, ferramentas ou infraestrutura, a atividade do LockBit cairá significativamente. Além do mais,
Gangues anteriores que já ocuparam o primeiro lugar, como Maze, REvil e Conti, acabaram caindo. Um tema comum para todos é que seus egos estão fora de controle e sua ganância os fez ir longe demais. Afinal, eles transcendem e atraem a atenção de governos inteiros com mais recursos do que as agências policiais tradicionais. No entanto, é improvável que o LockBit seja preso ou passe algum tempo em uma cela. Na verdade, sua maior preocupação é que seu próprio governo os encontre, confisque suas finanças e os force a apoiar suas próprias operações cibernéticas militares ou governamentais.
Esta pode ser uma das razões pelas quais a LockBit afirma não estar mais baseada na Rússia, embora eu acredite que esta história provavelmente tenha o objetivo de confundir os investigadores. Por exemplo. Durante minha investigação, LockBitSupp discutiu a vida na China, Holanda, Hong Kong e até nos EUA. A certa altura, o líder da gangue chegou a afirmar possuir ações em dois restaurantes em Nova York! No entanto, o único lugar sobre o qual ele menos falou, a Rússia é provavelmente onde ele reside hoje.
Outro problema é que tratamos os criminosos de ransomware da mesma forma que tratamos os criminosos comuns. Os criminosos de ransomware estão protegidos e fora do alcance das autoridades, a menos que deixem a Rússia e sejam pegos em um país que permite a extradição para os Estados Unidos. No entanto, estamos resolvendo esse problema emitindo mandados e trabalhando para prender criminosos de ransomware russos como o LockBit com táticas que ainda não funcionam. Não culpo a aplicação da lei, mas é hora de mudar nossa abordagem em relação ao ransomware.
Na minha opinião, precisamos conduzir operações de guerra de informação destinadas a espalhar propaganda e desinformação nos fóruns da dark web usados por criminosos de ransomware. Se os criminosos perderem a confiança no provedor RaaS, eles não trabalharão para eles. Paranóia, desconfiança e medo de perda de renda são comuns entre parceiros extorsivos. Precisamos jogar com esse medo. Isso, combinado com ataques a serviços e infraestrutura de ransomware, privaria os recursos que as gangues de ransomware fornecem a seus afiliados. Despertar desconfiança e interrupções ocasionais no serviço irão frustrar os criminosos e impactar negativamente o provedor de RaaS. Independentemente de como resolvemos o problema, uma coisa é certa: o que estamos fazendo agora não está funcionando e é hora de mudar.