LockBitSupp, die Person(en) hinter der Persona, die den LockBit-Ransomware-Dienst in Cybercrime-Foren wie Exploit und XSS vertritt, hat sich laut Behörden „mit den Strafverfolgungsbehörden in Verbindung gesetzt“. Dies erfolgte nach der Abschaltung des bekannten Ransomware-as-a-Service-Betriebs (RaaS) im Rahmen einer koordinierten internationalen Operation mit dem Codenamen Cronos. Mehr als 14.000 betrügerische Konten auf Drittanbieterdiensten wie Mega, Protonmail und Tutanota, die von den Kriminellen genutzt wurden, wurden geschlossen.
Laut einer Nachricht, die auf der mittlerweile beschlagnahmten (und offline genommenen) Dark-Web-Datenleckseite veröffentlicht wurde, „wissen wir, wer er ist. Wir wissen, wo er wohnt. Wir wissen, wie viel er wert ist. LockbitSupp hat sich mit den Strafverfolgungsbehörden in Verbindung gesetzt.“ Dieser Schritt wird von Langzeitbeobachtern von LockBit als Versuch interpretiert, Misstrauen zu schüren und Zweifel unter den Affiliates zu säen, um letztendlich das Vertrauen in die Gruppierung im Cybercrime-Ökosystem zu untergraben.
Es gibt Hinweise darauf, dass mindestens drei verschiedene Personen die „LockBit“ und „LockBitSupp“ Konten betrieben haben, wobei einer von ihnen der Anführer der Gruppe selbst sein könnte. LockBit hat bereits verschiedene Versionen wie LockBit Red, LockBit Black und LockBit Green durchlaufen, wobei die Gruppe heimlich an einer neuen Version namens LockBit-NG-Dev gearbeitet hatte, bevor ihre Infrastruktur demontiert wurde.
Die neue Version, LockBit-NG-Dev, wurde in .NET geschrieben und mit CoreRT kompiliert, um plattformunabhängiger zu sein. Es wurden Selbstverbreitungsfunktionen und die Möglichkeit, Lösegeldforderungen über die Drucker der Benutzer auszudrucken, entfernt. Außerdem wurde eine Gültigkeitsdauer hinzugefügt, die den Betrieb nur innerhalb eines bestimmten Datumsbereichs fortsetzt, um die Wiederverwendung der Malware zu verhindern und automatisierte Analysen zu erschweren.
Die Entwicklungsarbeiten an der nächsten Generation wurden durch verschiedene Probleme vorangetrieben, darunter der Vorfall, bei dem der Ransomware-Builder im September 2022 durch einen unzufriedenen Entwickler geleakt wurde, sowie Misstrauen, dass einer der Administratoren durch Regierungsagenten ersetzt worden sein könnte. LockBit wurde Ende Januar 2024 von Exploit und XSS gebannt, weil sie einem Initial-Access-Broker, der ihnen Zugriff verschafft hatte, nicht bezahlt hatten.
Die Gruppe soll laut Analysen über 28 Affiliates verfügen, von denen einige Verbindungen zu anderen russischen E-Crime-Gruppen wie Evil Corp, FIN7 und Wizard Spider haben. Es wird vermutet, dass LockBit mehr als 120 Millionen US-Dollar an illegalen Einnahmen erzielt hat, und es wird davon ausgegangen, dass die Operation Cronos ihre Fähigkeit zur Fortführung von Ransomware-Aktivitäten unter ihrem gegenwärtigen Markennamen ernsthaft beeinträchtigt hat.