“El personaje que amplificaba en los foros de hacking rusos era una mezcla de supervillano y Tony Montana de Scarface“, compara DiMaggio. “Hacía alarde de su éxito y su dinero, y a veces molestaba a la gente”.
Además de fijar una recompensa por su propia identidad, el lado más innovador y errático de LockBitSupp también organizó un concurso de redacción en los foros de hacking, ofreció una “recompensa por errores” si la gente encontraba fallos en el código de LockBit y prometió que pagaría 1,000 dólares a quien se tatuara el logotipo de LockBit. Alrededor de 20 personas publicaron fotos y videos de sus tatuajes.
En enero, LockBitSupp fue expulsado de dos importantes foros de ciberdelincuentes en ruso tras recibir una denuncia sobre su comportamiento: “A lo largo de los años, han hecho socios, seguidores, haters y fanáticos”, esgrime Victoria Kivilevich, directora de investigación de amenazas de la empresa de seguridad KELA.
El análisis de los foros de ciberdelincuentes realizado por Kivilevich muestra que los ecosistemas en lengua rusa tuvieron respuestas encontradas, incluida la sorpresa cuando LockBit fue comprometido por primera vez por las fuerzas de seguridad: “Los usuarios se regodearon de que LockBit finalmente fracasara y recibiera su merecido, haciendo referencias a sus declaraciones en las que alardeaba de que LockBit ‘RaaS’ es seguro y mejor que cualquier otra operación”, afirma Kivilevich.
Otros usuarios del foro cuestionaron las decisiones técnicas de LockBitSupp y si habían colaborado con las fuerzas de seguridad, refiere el investigador. Hubo usuarios del foro que reaccionaron de forma neutral, “la mayoría diciendo que la operación no afectará mucho a LockBit y que seguirá existiendo”, dice Kivilevich.
La caída
Después de que la Operación Cronos desconectara LockBit en febrero, LockBitSupp tardó apenas cinco días en crear réplicas del sitio de filtraciones del grupo. El sitio web empezó a llenarse entonces de aparentes víctimas; parecía que al grupo LockBit no le había afectado que la policía de todo el mundo accediera a sus secretos internos.
La intervención real de las fuerzas del orden ha sido significativa”, según Matt Hull, responsable global de inteligencia sobre amenazas de la empresa de ciberseguridad NCC Group.
Además, gran parte de la credibilidad de la marca LockBit ha quedado destruida. Es poco probable que veamos aparecer otro gran nombre como LockBit con esas cifras, a menos que se produzca un cambio masivo de marca o un cambio repentino de lealtad hacia los individuos que están detrás de LockBit”, alerta Hull.
En cuanto a LockBitSupp, es poco probable que responda bien a ser identificado públicamente. Cuando la Operación Cronos desmanteló los sistemas de LockBit en febrero, la policía reutilizó su sitio web de filtraciones para publicar detalles sobre el propio grupo. Antes de que se nombrara a Khoroshev, apareció una cuenta atrás en el sitio web, y LockBitSupp respondió publicando decenas de víctimas.
“LockBitSupp tiene muchos enemigos y gente esperando para ocupar su lugar”, advierte DiMaggio, investigador de Analyst1, quien añade que es poco probable que detengan sus acciones, aunque será más difícil continuar: “Es mucho más fácil ser un mal tipo cuando nadie sabe quién eres. Su reputación está por los suelos y eso será muy difícil de remontar”.
Esta es una historia en desarrollo. Vuelve a consultarla para conocer más detalles.
Artículo publicado originalmente en WIRED. Adaptado por Mauricio Serfatty Godoy.