يقول ديماجيو: “لم يأخذ المال لنفسه فحسب، بل أعاد استثماره في تطوير عمليته وجعلها مرغوبة أكثر لدى المجرمين”. طوال دورة حياة مجموعة LockBit، حدث تحديثان وإصداران رئيسيان لبرامجها الضارة، وكان كل منهما أكثر قدرة وأسهل في الاستخدام من سابقه. يُظهر تحليل عملية إنفاذ القانون التي أجرتها شركة الأمن Trend Micro أنها كانت تعمل على إصدار جديد أيضًا.
يقول ديماجيو إن الشخص الذي كان يتحدث إليه على انفراد باستخدام لقب LockBitSupp كان “متعجرفًا” ولكنه “يعمل بجدية كبيرة” – بصرف النظر عن إرسال ملصقات القطط كجزء من الدردشات. يقول ديماجيو إنه علنًا، في منتديات الجرائم الإلكترونية باللغة الروسية حيث يتبادل المتسللون البيانات ويناقشون سياسات وأخبار القرصنة، كان LockBitSupp مختلفًا تمامًا.
“كانت الشخصية التي تضخمها في منتديات القرصنة الروسية عبارة عن مزيج من الشرير الخارق وتوني مونتانا من سكارفيسيقول ديماجيو. “لقد كان يتباهى بنجاحه وأمواله، وكان ذلك يزعج الناس في بعض الأحيان”.
بالإضافة إلى تحديد مكافأة لمن يكشف هويتهم الخاصة، نظم الجانب الأكثر ابتكارًا وغرابة في LockBitSupp أيضًا مسابقة لكتابة المقالات في منتديات القرصنة، وعرض “مكافأة اكتشاف الأخطاء” إذا اكتشف الأشخاص عيوبًا في كود LockBit، وقالوا إنهم سيدفعون 1000 دولار لكشف هويتهم. أي شخص حصل على شعار LockBit كوشم. حوالي 20 شخصا نشر صور ومقاطع فيديو للوشم الخاص بهم.
وبعد فترة وجيزة من ادعاء سلطات إنفاذ القانون أنها كشفت عن هوية LockBitSupp، نشر ديماجيو بحثًا جديدًا عن خوروشيف. وباستخدام المعلومات التي تلقاها، بالإضافة إلى معلومات استخباراتية مفتوحة المصدر ومعلومات مسربة على شبكة الإنترنت المظلمة، عثر ديماجيو على ملفات تعريف على وسائل التواصل الاجتماعي ومعلومات شخصية إضافية يعتقد أنها مرتبطة بالمواطن الروسي.
وكتب ديماجيو في البحث: “إنه يمتلك العديد من الشركات المشروعة، ومقرها أيضًا في فورونيج، ويقود سيارة مرسيدس، وكان يمتلك سابقًا سيارة مازدا 6، وليس سيارة لامبو كما يتباهى في كثير من الأحيان”. وكتب أن أحد عناوين البريد الإلكتروني المدرجة في العقوبات يحتوي على روابط لشركة تجارة إلكترونية مقرها روسيا مسجلة باسم خوروشيف. ويقول بحث ديماجيو إن العديد من رسائل البريد الإلكتروني وأرقام الهواتف الأخرى كانت مرتبطة بهذه التفاصيل.
تم حظر LockBitSupp من اثنين من المنتديات البارزة المعنية بالجرائم الإلكترونية باللغة الروسية في يناير بعد تقديم شكوى بشأن سلوكهما. تقول فيكتوريا كيفيليفيتش، مديرة أبحاث التهديدات في شركة KELA الأمنية: “لقد صنعوا شركاء ومؤيدين وكارهين ومشجعين على مر السنين”.
يُظهر تحليل منتديات الجرائم الإلكترونية التي أجراها كيفيليفيتش أن الأنظمة البيئية الناطقة باللغة الروسية كانت لها ردود فعل متباينة، بما في ذلك المفاجأة عندما تم اختراق LockBit لأول مرة من قبل سلطات إنفاذ القانون. يقول كيفيليفيتش: “يشعر المستخدمون بالشماتة بأن LockBit فشل أخيرًا وحصل على ما يستحقه، مشيرين إلى تصريحاته حيث تفاخر كيف أن LockBit 'RaaS' آمن وأفضل من أي عمليات أخرى”.
يقول الباحث إن مستخدمي المنتدى الآخرين شككوا في القرارات الفنية لشركة LockBitSupp وما إذا كانوا قد تعاونوا مع سلطات إنفاذ القانون. كان هناك مستخدمون في المنتدى كان رد فعلهم محايدًا، “وقال معظمهم إن العملية لن تؤثر على LockBit كثيرًا وستستمر العملية”، كما يقول كيفيليفيتش.
سقوط
بعد أن أوقفت عملية Cronos عمل LockBit في فبراير، استغرق الأمر من LockBitSupp خمسة أيام فقط لإنشاء نسخ طبق الأصل من موقع التسريب الخاص بالمجموعة. ثم بدأ الموقع يمتلئ بالضحايا الواضحين؛ يبدو أن مجموعة LockBit لم تتأثر بوصول الشرطة في جميع أنحاء العالم إلى جميع أسرارها الداخلية.
يقول العديد من الخبراء إن هؤلاء الضحايا الذين تم نشرهم مؤخرًا ليسوا كما يبدون. يقول مات هال، الرئيس العالمي لقسم استخبارات التهديدات في شركة الأمن السيبراني NCC Group: “لقد كان التدخل الفعلي لإنفاذ القانون كبيرًا”. وتقول وكالة الجريمة الوطنية إن عدد الشركات التابعة لشركة LockBit انخفض إلى 69 منذ إزالتها في فبراير، في حين تقول لائحة الاتهام الصادرة عن وزارة العدل إن عدد ضحايا LockBit “تضاءل بشكل كبير” منذ ذلك الحين.