NCA Ulusal Direktörü Paul Foster, “Eğer bir siber suçluysanız ve bu pazarlarda, forumlarda veya platformlarda faaliyet gösteriyorsanız, kolluk kuvvetlerinin orada sizi gözlemlemediğinden ve size karşı harekete geçmediğinden emin olamazsınız” diyor. Siber Suç Birimi.
Supp’un Yükselişi
LockBit ilk olarak 2019 yılında yeni başlayan bir “hizmet olarak fidye yazılımı” (RaaS) platformu olarak ortaya çıktı. Bu kurulum kapsamında, LockBitSupp tarafından organize edilen bir avuç çekirdek grup, grubun kullanımı kolay kötü amaçlı yazılımını oluşturdu ve sızıntı web sitesini başlattı. Bu grup, saldırıları başlatan ve fidye ödemeleri için pazarlık yapan bilgisayar korsanlarına “bağlı olmak” için LockBit’in kodunu lisanslıyor ve sonunda LockBit’e kârının yaklaşık yüzde 20’sini sağlıyor.
Binlerce saldırı gerçekleştirmesine rağmen grup başlangıçta diğer fidye yazılımı gruplarına kıyasla düşük profilli olmaya çalıştı. Zamanla LockBit daha çok tanınıp siber suç ekosistemine hakim olmaya başladıkça, üyeleri daha küstah ve muhtemelen dikkatsiz hale geldi. NCA kıdemli müfettişi, LockBit sistemlerinden 194 bağlı kuruluş hakkındaki verileri aldıklarını ve çevrimdışı kimliklerini bir araya getirdiklerini söylüyor; müfettiş, bunlardan yalnızca 114’ünün hiç para kazanmadığını söylüyor. “Beceriksiz olanlar ve saldırı yapmayanlar vardı” diyorlar.
Ancak her şeyin merkezinde LockBitSupp kişiliği vardı. NCA araştırmacısı, bağlı kuruluşların başlangıçta şirketlere veya kuruluşlara saldırmasının ardından LockBit yöneticisinin yüksek profilli veya yüksek fidye müzakerelerinin doğrudan “sorumluluğunu üstlendiğine” dair “sayısız” örnek bulunduğunu söylüyor.
Siber güvenlik firması Analyst1’de araştırmacı olan Jon DiMaggio, LockBit’i araştırmak ve LockBitSupp tanıtıcısıyla iletişim kurmak için yıllarını harcadı. DiMaggio, “Buna bir iş gibi davrandı ve suç operasyonunu nasıl daha etkili hale getirebileceği konusunda sık sık ortaklarından geri bildirim istedi” diyor. Araştırmacı, LockBitSupp karakterinin bağlı kuruluşlara işlerini daha etkili bir şekilde yapabilmek için neye ihtiyaç duyduklarını soracağını söylüyor.
DiMaggio, “Parayı sadece kendisi için almadı, aynı zamanda operasyonunu geliştirmek ve onu suçlular için daha cazip hale getirmek için yeniden yatırdı” diyor. LockBit grubunun yaşam döngüsü boyunca, kötü amaçlı yazılıma yönelik iki büyük güncelleme ve sürüm gerçekleşti; bunların her biri bir öncekinden daha yetenekli ve kullanımı daha kolaydı. Güvenlik şirketi Trend Micro’nun kolluk kuvvetleri operasyonundan elde edilen analiz, şirketin de yeni bir sürüm üzerinde çalıştığını gösteriyor.
DiMaggio, LockBitSupp adını kullanarak özel olarak konuştuğu kişinin “kibirli” olduğunu ancak sohbetlerin bir parçası olarak kedi çıkartmaları göndermesi dışında “tamamen iş adamı ve çok ciddi” olduğunu söyledi. DiMaggio, bilgisayar korsanlarının veri alışverişi yaptığı ve bilgisayar korsanlığı politikalarını ve haberlerini tartıştığı Rusça siber suç forumlarında halka açık olarak LockBitSupp’un tamamen farklı olduğunu söylüyor.
“Rus hack forumlarında güçlendirdiği kişilik, bir süper kötü adam ile Tony Montana’nın bir karışımıydı. Yaralı YüzDiMaggio diyor. “Başarısını ve parasını sergiliyordu ve bu bazen insanları yanlış yola sürüklüyordu.”
LockBitSupp’un daha yenilikçi ve dengesiz tarafı, kendi kimliklerine bir ödül koymanın yanı sıra, bilgisayar korsanlığı forumlarında bir makale yazma yarışması düzenledi, insanlara LockBit’in kodunda kusur bulması durumunda bir “hata ödülü” teklif etti ve herkese 1.000 $ ödeyeceklerini söyledi. LockBit logosunu dövme olarak yaptıran kişi. Yaklaşık 20 kişi dövmelerinin resimlerini ve videolarını yayınladılar.