Интервью с LockBitSupp 23.12.2024

Пару слов перед интервью от меня об Lockbit. 

Lockbit это партнёрская программа вируса вымогателя, к примеру хакер может взять на партнерских условиях вирус шифровальщик Lockbit и воспользоваться всей инфраструктурой и опытом Lockbit в своих преступных целях. Т.е. это и известный читаемых блог, и файловые сервера для хранения файлов жертв и чат для общения с жертвами и даже помощь в переговорах с жертвами опытного переговорщика LockBitSupp. 

Я выше написал LockBitSupp и просто LockBit, чтоб читатели не путались разъясню для тех, кто не знает, для понимания LockBit это речь идет о бренде, вирусе, партнерской программе, а LockBitSupp это речь идет о конкретном человеке, можно назвать его даже бизнес менеджером этого бренда и того единственного кто стоит за этим. 

И пару слов о том, как работает этот бизнес (незаконный). Какой-то хакер (пентестер), получает каким-то способом доступ (целевая спам рассылка какой-то хорошей склейки docx с каким-то загрузчиком и ботом) в крупную сеть какой-то миллиардной компании, например по производству каких-то двигателей. 

Далее задача пентестера взять DA (доменного админа) в доменной сети этой корпорации и в идеале получить доступа от ESXI серверов (гипервизоры), скачать все важные (конфиденциальные) файлы с файловых серверов, sql серверов и тд., найти места хранения бэкапов чтоб зашифровать их тоже. После всей подготовки описанной выше, пентестер (хакер) берет локер (он же шкафчик, он же вирус-шифровальщик) и запускает с нужными правами в нужных местах нужные варианты локеров (под Windows/Linux/ESXI и тд.), которые шифруют всё кроме системных файлов и оставляют записки с требованием выкупа. 

Далее идет двойной шантаж, шантаж того что файлы будут зашифрованы и их никак не расшифровать и из-за этого компания парализована и не может зарабатывать деньги и несет убытки, и второй параллельный шантаж - угроза опубликовать скачанные данные с компании, что также нанесет ущерб.

Сумма выкупа, обычно ставится исходя из чистого дохода компании, и обычно составляет минимум 300k$ - 500k$, может легко быть выше 1млн$. Это зачастую объективное требование, т.к. компании реально дешевле заплатить выкуп чем столкнуться с последствиями (восстановление всех файлов и публикация конфиденциальных данных в сети). Но стоит заметить платят компании не особо охотно, т.к. в случае обращения компаний в органы ФБР строго запрещает им давать такой выкуп, подводя это под финансирование терроризма и некоторые компании готовы нести реально убытки в 10-ки раз превышающие суммы выкупа.

Орфография и пунктуация сохранена

Интервьюер: @TorZireael1

Интервьюируемый: владелец ПП Lockbit - LockBitSupp @foxwm_apt

TorZireael1: Интересно услышать твой комментарий. Есть мнения, что LockBit и LockBitSupp это разные люди и ты не являешься Хорошевым по причине того, что ты LockBitSupp, а Д.Хорошев это и есть кодер-основатель ПП LockBit, и именно его ники это PUTINKRAB, NEROWOLFE. 

LockBitSupp: Это не правда, не понимаю откуда взялось такое бредовое мнение, Д.Хорошев нищий кодер с фриланса, как такое возможно, быть основателем и быть нищим?

TorZireael1: В продолжение вопроса выше, на эксплоите ты писал что ты тир3 саппорт и отвечать на глупые вопросы твоя работа, ты сейчас уже не тир3 саппорт, что случилось с остальными ребятами которые были овнерами (создателями) LockBit?

LockBitSupp: Я овнер был и есть, я могу быть в разных обличиях и выполнять разные функции в разное время, зачем мне сообщать всем о том кто я есть если в этом нет нужды исходя из моих потребностей? Ничего со мной не случилось, жив здоров и надеюсь так будет всегда.

TorZireael1: Что скажешь касательно задержания твоего кодера в Израиле 18-го августа? Многие на форумах высмеивают его ЗП за 5-6 лет 280к$, это реально же копейки, ты так мало платил ему? Сколько конкретно у тебя получают кодеры, ты говорил много, но мб это много по твоей мерке и «много» это совсем не конкретный ответ.

LockBitSupp: мне похуй что думают израилитяне о моей бизнес модели, пусть сделают партнёрку и платять хоть 100к баксов в день своим кодерам, даже если у кодера 100к баксов в день зарплата, что это изменит? они начнут уважать опсек? я не видел ни одного кодера с опсеком, поэтому кодеров ловили, ловят и будут ловить и это не моя вина, у всех кодеров разные зп, за 5 лет у меня было человек 15 кодеров с фриланса и форумов, вилка зп была от 2к до 20к, 20к получал кодер, который слил билдер блек локера, хорошо и быстро работал, но не признавал свои ошибки. плачу зарплаты всем сотрудникам выше рынка, нет ни одного кроме меня кто зарабатывает миллионы долларов, кто хочет миллионы долларов должен строить сам свой личный бизнес, а не работать на дядю без рисков ежемесячно получая стабильную зарплату, моя национальность эфиоп.

Чем выше зарплата тем быстрее кодер уходит, зачем работать когда дохуя денег? я никому не выплачивал процент если не было такого договора, эротические фантазии долбоебов о проценте меня не волнуют

TorZireael1: Как лично ты пришел в бизнес? Интересно понять с чего ты начинал и как дошел до самой популярной ПП раас в мире.

LockBitSupp: Секретная информация

TorZireael1: Почему ты не сделаешь ребренд? Я читал мнения что ты просто не сможешь заново поднять новую партнерку и из-за этого держишься за старый бренд и только. Почему ты не сделаешь так, как сделали DS/BM/Альфа (конкуренты которые делали ребрендинг) и другие. 

LockBitSupp: Потому что мне это не интересно, я не убегаю от ФБР, а вступаю с ними во открытое противодействие, меня не возможно запугать и остановить.

Все кто сделали ребренд были скамерами если ты помнишь, я не собираюсь скамить, мне и так все нравится, а атаки фбр только подбадривают и мотивируют меня.

TorZireael1: от части ребренд действительно делали после крупных выплат, когда не хотели делиться с адвертами (партнерами).

LockBitSupp: не от части а всегда в 100% случаях, назови мне хоть один ребренд без экзит скама, и так будет всегда, все новые партнерки будут дальше скамится после первой крупной выплаты и лишь только я буду дальше работать и любить своих роднуличек адвертов

TorZireael1:Какой был самый прибыльный кейс? По возможности больше подробностей, чем они занимались и какое ГЕО? Они торговались? Как их удалось убедить заплатить?

LockBitSupp: 48кк (48 млн$), не могу рассказать подробности, потому что это тайна сделки прописанная в договоре с корпом. Все торгуются, убедил заплатить угрозой слить украденные данные.

TorZireael1: Какая минимальная сумма выкупа у тебя?

LockBitSupp: нет никаких ограничений на сумму выплаты, хоть 100 баксов, все лишь бы фбр получала больше висяков по уголовным делам, хочу затмить их отделы с папками на меня.

TorZireael1:Где-то читал что 500к хотел минимум поставить, чтоб переговорщики от АВ (антивирусы) даже не пытались скидку просить.

LockBitSupp: Сейчас похуй потому что фбр возбудили меня, и я хочу больше уголовных дел, потом когда буду на пике может введу опять лимиты или особые правила

TorZireael1:Какая примерно статистика выплат, сколько компаний из 10 или 20 платит? Какой процент успеха?

LockBitSupp:До октября 2023 года примерно 6 из 10, после октября когда ФБР залезли на сервера и получили рут примерно 2 из 10

TorZireael1: Что больше всего влияет на выплаты? Количество выгруженной даты, переговоры, или гео?

LockBitSupp: Качество украденной даты, качество работы пентестера, который смог найти все бекапы, и распиздяйство сис админов корпа, которые не умеют делать офлайн бекапы и настраивать ЕДР с фаерволом.

TorZireael1: Что изменилось за года работы? Я слышал раньше сетки платили куда охотенее чем сейчас, это правда? Как сильно уменьшился процент успеха по выплатам?

LockBitSupp: Это правда, системы защиты корпов разиваются, опытные пентестеры богатеют и уходят на пенсию, новички приходят и не могут побороть современные системы защиты, процент успеха падает, по личным ощущениям процент успеха падает на 20-30% в год.

TorZireael1: Я слышал ОАЭ вообще не платят, это правда? Есть ли ГЕО где вообще не платят или самый низкий % выплат?

LockBitSupp: Не правда, платят любые ГЕО, но только эти ГЕО, которые якобы не платят, редко кто атакует, потому что думают, что они не платят.

TorZireael1: Какой самый частый АВ в сетках? Какой самый сложный АВ в работе?

LockBitSupp: Кроуд страйк.

TorZireael1: Большая ли у тебя команда, из кого она состоит?

LockBitSupp: Не более 10 человек, состав засекречен.

TorZireael1: Чем в команде занимаешься лично ты? Ты в кейсах занимаешься только переговорами?

LockBitSupp: Управлением командой и переговорами в сочными корпами.

TorZireael1: Сколько лично ты заработал уже?

LockBitSupp: Сотни миллионов долларов.

TorZireael1: Имеет ли % от тех 20% прибыли что ты имеешь с кейсов твоя команда, кодеры, пентестеры, и другие члены? Или все 20% идут тебе а они исключительно на ЗП?

LockBitSupp: Все члены команды на зарплате, вся прибыль идёт мне в карман.

TorZireael1: Ведется ли набор к тебе в команду сейчас? Есть ли вакансии на кодеров, пентестеров и тд?

LockBitSupp: Ведется, ищу талантливых кодеров на зарплату, чем больше кодеров тем лучше, пентестеры всегда нужны, пентестеры всегда важны, для всех желающих открыта рега.

TorZireael1:Расскажи про опсек, анонимность и безопасность. Насколько возможно без вреда твоей анонимности и опсеку дай пару советов.

LockBitSupp: Почитайте расследования ФБР, это лучшие рассказы про опсек, поймете как ФБР ловит хакеров и на сколько надо быть глупым чтобы тебя поймали.

TorZireael1:Как думаешь почему некоторые думают, что ты работаешь на ФСБ?

LockBitSupp: Потому что это классика, если кто-то долго живет значит у него якобы должна быть крыша, якобы ФСБ всемогущее и знает все обо всех, о чем тут говорить если даже ФБР не может меня найти, как меня найдет ФСБ? особенно учитывая тот факт, что я не нахожусь в СНГ.

TorZireael1: Что можешь посоветовать и сказать тем, кто вот сейчас послушал/прочитал интервью и захотел стать как ты? Отговорить или поддержать или пригласить к себе в TOX?))

LockBitSupp: Советую открыть линки на регистрацию в партнёрку и начать зарабатывать уже сейчас, не надо терять время, чем больше компаний вы зашифровали, тем вы и я богаче.

TorZireael1: Как планируешь бороться с ФБР и NCA_UK (они же Национальное агентство по борьбе с преступностью Великобритании), именно в плане защиты серверов от них, не хотел бы нанять опытного админа, который бы мониторил и отслеживал любой пук на сервере/серверах? Или хотя бы чтобы опытный администратор проконсультировал его, где именно в логах нужно копаться, чтобы найти следы взлома сервера, наверняка он сам все это мониторит и тупо не успевает или не понимает как где что смотреть

LockBitSupp: Уже поборол, уже отслеживается любой пук на сервере, я занимался изучением безопасности серверов почти год пока готовил обновление 4.0, именно это и стало причиной открытой регистрации, теперь я не боюсь пускать в панель любых агентов ФБР и пентестеров любого уровня, жалею что не сделал этого раньше, тогда бы ФБР никогда не смогли украсть ни одного декриптора.

TorZireael1: После операции ФБР, Европола, NCA_UK и других, многие адверты ушли от тебя, как планируешь привлекать новых адвертов?

LockBitSupp: Естественно адверты будут уходить когда нет выплат, какой смысл платить корпам если ФБР раздавало декрипторы бесплатно? Теперь ФБР не получат ни одного декриптора так как все исходники переписаны на 90% и бесплатный декрипт абсолютно не возможен, теперь за каждый декриптор будет поступать оплата хочет или не хочет этого ФБР, я буду продолжать работу даже если всего 1 адверт будет продолжать работать со мной, а сейчас их более 30 за несколько дней релиза, адверты приходят и уходят, так было во все времена после каждого инцедента в моей истории войны с ФБР, а моя партнёрка остается жить вечно на радость ФБР.

TorZireael1:Уходили ли адверты от тебя после того как тебя забанили на хсс и эксплойте? Как сильно это повлияло на твою репутацию?

LockBitSupp: Ни один адверт не сказал мне ни одного плохого слова, бизнес продолжал процветать после банов. Как может повлиять бан на мусорских форумах, где забанили тематику рансомваре по указке мусоров на мою репутацию? 

TorZireael1:Часто ли происходят попытки деанонимизации тебя? В основном это пытались сделать русскоязычные или англоязычные? Расскажи самую тупую попытку деанона и самую интересную.

LockBitSupp: Уже не часто, в основном все люди пытаются узнать мелочи из личной жизни, которые помогут сузить круг поиска, это база опсека и тут у них нет шансов. В основном это делают русскоязычные. Спрашивать какое у меня авто самая тупая попытка, самая интересная, немцы подсунули куар код якобы с биткоинами при сканировании которого открывался сайт логгировния моего айпи адреса, этот куаркод естественно был отсканирован на дедике в тор браузере, а не моим личным последним айфоном.

 TorZireael1:В одном из интервью REvil'a ему задали вопрос, сможет ли он когда-либо остановиться или процесс связанный с большим риском и деньгами - как наркотик, затягивает Аналогичный вопрос и к тебе: смог бы ты когда-нибудь остановиться? Не боишься, что мог бы закончить как он?

LockBitSupp: Меня не остановить, дело не в деньгах, дело в азарте и адреналине, мне нравится что за мной охотяться все спец службы мира и не могут меня найти, я не смогу остановиться, это слишком приятное чувство, мне скучно жить без этого чувства, у всего есть конец и это пройдет.

TorZireael1:Что посоветуешь новичкам?

LockBitSupp: Быстрее регистрироваться у меня в панели и шифровать все что сможете.

TorZireael1:Возможно это интервью прочитает Дмитрий Хорошев, какое послание ты хотел бы ему передать?

LockBitSupp: Передаю послание Дмитрию Хорошеву, стань блогером и показывай всем как ты живешь, меня заебали обвинять в том что ты это я, ну и конечно же мой лучше крипту если кодишь кому-то на фрилансе за копейки если ФБР говорят правду что ты малваре кодер.

Дисклеймер к интервью с Lockbit

Это интервью предоставлено исключительно в информационных целях и не выражает одобрения, поддержки или согласия с любыми действиями, упомянутыми в тексте. Автор публикации не имеет отношения к деятельности, описанной в интервью, и не несет ответственности за любые последствия использования предоставленной информации.

Материалы интервью предназначены для повышения осведомленности общественности о современных киберугрозах и методах работы киберпреступных группировок. Публикация данного текста не является пропагандой противоправной деятельности и не побуждает к нарушению законов.

Читателям рекомендуется всегда соблюдать правовые нормы и консультироваться с соответствующими органами в случае возникновения вопросов по теме, освещенной в данном интервью.