قامت الوكالة الوطنية لمكافحة الجريمة (NCA) والوكالات الشريكة لها بإثارة تفاصيل محدودة حول هوية الوجه العام لشركة LockBit، LockBitSupp، عبر موقع تسرب الويب المظلم الخاص بالعصابة، والذي سيطرت عليه في وقت سابق من هذا الأسبوع في عملية إزالة ناجحة على ما يبدو لبرنامج الفدية سيئ السمعة. عصابة مدبلجة عملية كرونوس.
في التحديث الذي تأخر عدة ساعات، بعد أن تم تأخيره لعدة أيام باستخدام مؤقت للعد التنازلي – بطريقة مشابهة لكيفية سخرية عصابات مثل LockBit من ضحاياها لدفع الأموال أو تسريب بياناتهم – نشرت الوكالات تحديثًا على الموقع في وقت سابق اليوم ( الجمعة 23 يناير).
على الرغم من أن NCA لم تصل إلى حد تسمية LockBitSupp بشكل مباشر، إلا أن تحديثها كشف زيف الادعاءات السابقة التي قدمتها LockBitSupp بأنه عاش في هولندا أو الولايات المتحدة، وأنه كان يقود سيارة لامبورغيني.
وجاء في التحديث: “إنه يقود سيارة مرسيدس، على الرغم من أنه قد يكون من الصعب الحصول على قطع الغيار”.
“نحن نعرف من هو. نحن نعرف أين يعيش. نحن نعرف كم يستحق. وأضافوا أن LockBitSupp تعاونت مع سلطات إنفاذ القانون.
من الواضح أن لهجة وأسلوب التحديث، الذي يذكرنا بتكتيكات المتصيدين عبر الإنترنت واستدعاء صور القطط الكرتونية، قد تم تصميمهما لإثارة قلق أعضاء طاقم LockBit والشركات التابعة الذين ما زالوا طلقاء، وهو ملحوظ بقدر ما لم يذكره كما يفعل.
إذا كانت شركة LockBitSupp تواجه بالفعل صعوبة في الحصول على قطع غيار لسيارة مرسيدس، فقد يكون هناك إشارة ضمنية إلى وجودها في روسيا، وهو السوق الذي خرجت منه شركة صناعة السيارات بعد غزو أوكرانيا. قد يشير التلميح إلى أن LockBitSupp قد تعامل مع سلطات إنفاذ القانون إلى أن هذا الشخص قد تعاون مع عملية الإزالة بطريقة ما.
ومن المعروف بالفعل أنه تم طرد هذا الشخص من عدد من منتديات الجرائم الإلكترونية في وقت سابق من عام 2024، و وفقا لأبحاث تريند مايكرو، كانت العصابة تكافح من أجل استعادة وضعها السابق بعد سلسلة من النكسات، بما في ذلك تسريب قاعدة التعليمات البرمجية الخاصة بها من قبل مطور غاضب.
في ورقة نشرت في يناير 2023, محلل1 كتب كبير الاستراتيجيين الأمنيين جون ديماجيو أنه بناءً على أشهر من جمع المعلومات الاستخبارية البشرية، فقد قيم أنه من المحتمل أن يكون LockBitSupp شخصين، زعيم العصابة وعضو أساسي آخر في المجموعة.
بناءً على تفاعلاته مع مشغلي برامج الفديةلقد رسم ديماجيو صورة لشخص مغرور وغير آمن على رأس LockBit.
كما عزز بحثه المكثف أيضًا الروابط بين LockBitSupp وطواقم أخرى رفيعة المستوى في أوائل عام 2020، بما في ذلك REvil/Sodinokibi، وConti، وBlackMatter، وALPHV/BlackCat وغيرها.
عملية بمليارات الدولارات
وفي الوقت نفسه، كشفت NCA أيضًا عن مزيد من التفاصيل حول تحليلها للبنية التحتية للدفع في LockBit. وقالت إنها صادرت 30 ألف عنوان بيتكوين من أنظمة العصابة، منها 500 عنوان نشط تتلقى ما يقرب من 100 مليون جنيه إسترليني (بأسعار اليوم). وكشف المزيد من التحليل أيضًا عن 2200 عملة بيتكوين غير منفقة، وهو ما يمثل أموالًا تزيد عن 90 مليون جنيه إسترليني.
وقالت NCA إن التعرض المتلقي للعناوين التي تم تحليلها يمثل الفترة من يوليو 2022 وتم خصمها على مدار عامين من فورة جريمة LockBit، وأشارت إلى أن نسبة عالية من العناوين تمثل الرسوم التي دفعتها الشركات التابعة لشركة LockBit، وستكون مجاميع الفدية الفعلية هي “أعلى بكثير”، وسيكون التأثير على الشركات أكبر في المقابل.
ونظرًا لوجود ما يزيد عن 2000 هجوم مؤكد على LockBit، فمن غير المستبعد أن تكون العصابة قد حصلت على مبالغ تقدر بمليارات الدولارات.
