Hackean la infraestructura del grupo de ransomware LockBit

Tácticas de presión y desconfianza (Chat ID 1920-1928, clientid 154)
LockBit muestra impaciencia cuando la víctima retrasa el pago: «we have never waited so long, and the amount is not large» (ID 1920) y «this is suspicious, why are you delaying time» (ID 1921). Acusan a la víctima de procrastinar y sugieren métodos más rápidos para comprar Bitcoin, como usar Binance (ID 1926), mientras advierten contra estafas en exchanges pequeños (ID 1927). Esto refleja su estrategia de mantener el control y presionar para acelerar el proceso.

Asesoramiento técnico y de seguridad (Chat ID 1956-1972, clientid 154)
LockBit revela detalles del ataque: ingresaron vía phishing, explotando contraseñas débiles («very easy passwords», ID 1960) y monitoreando a un empleado (Glen Moyo) durante un mes (ID 1961-1962). Recomiendan eliminar al administrador del dominio («remove the admin from the domain», ID 1958) y desinstalar el servidor Kaspersky (ID 1972), mostrando su interés en presentarse como «pentesters» que ofrecen consejos para evitar futuros ataques.

Confianza en su reputación (Chat ID 2140-2152, clientid 182)
LockBit enfatiza su reputación para generar confianza: «we have been working for a long time and value our reputation» (ID 2140) y «you are in good hands» (ID 2252). También remiten a la víctima a buscar información sobre ellos en Google y YouTube (ID 2251, 2334-2336), asegurando que cumplen tras el pago: «read what the FBI writes about us» (ID 2251). Esto refuerza su imagen de grupo «profesional».

Soporte técnico detallado (Chat ID 2307-2310, clientid 182)
Proporcionan instrucciones precisas para desencriptar en ESXi: habilitar SSH, subir el desencriptador con WinSCP o FileZilla, y ejecutar comandos como chmod 777 decrypt y tail -f /tmp/decrypt.llg (ID 2309). Advierten contra ejecutar múltiples desencriptadores simultáneamente para evitar corrupción de archivos, mostrando un enfoque técnico y estructurado para garantizar el éxito del proceso.

Negociaciones y descuentos limitados (Chat ID 1997-2305, clientid 182)
Inicialmente piden $90,000 (ID 1997), pero tras la insistencia de la víctima, que alega ser una empresa pequeña («we are really a small business company», ID 2006), reducen a $50,000 (ID 2062) y finalmente a $30,000 (ID 2282). Sin embargo, rechazan ofertas más bajas como $10,000 («there won’t be a 10-20k deal», ID 2303), dejando claro que tienen un límite: «30k is the last price» (ID 2305). Esto indica flexibilidad, pero con un umbral firme.

Manejo de preocupaciones técnicas (Chat ID 2312-2329, clientid 182)
La víctima pregunta sobre interrupciones en el proceso de desencriptación y archivos grandes (ID 2312). LockBit asegura que el proceso puede reanudarse sin problemas («Of course it can be resumed», ID 2313) y que el desencriptador no requiere un servidor potente (ID 2240). También aclaran que el desencriptador no se elimina permanentemente, ya que permanece en un archivo .zip (ID 2325), mostrando disposición a resolver dudas técnicas para cerrar el trato.

Frustración ante preguntas repetitivas (Chat ID 2332-2338, clientid 182)
LockBit pierde la paciencia con preguntas técnicas reiteradas: «stop asking me stupid questions» (ID 2332) y «no more questions, do you pay or not» (ID 2337). Esto sugiere que, aunque ofrecen soporte, su tolerancia tiene límites, especialmente si perciben que la víctima está retrasando el pago.

Reacción a acusaciones y cierre de negociaciones (Chat ID 2206-2214, clientid 182)
Cuando la víctima acusa a LockBit de atacar nuevamente durante las negociaciones («Why did you launch an attack on us while we were in negotiations?», ID 2206), LockBit lo niega («We didn’t make the attack again», ID 2207) y termina la conversación: «I don’t want your money, goodbye» (ID 2209) y «I’ll block the chat» (ID 2211). Esto muestra su disposición a cortar comunicación si sienten que la víctima no coopera o los acusa injustamente.

Pruebas de desencriptación y soporte técnico continuo (Chat ID 2358-2368, 2384-2402, clientid 182)
LockBit confirma que el desencriptador puede manejar múltiples extensiones («detect both extensions -yes», ID 2358) y solicita a la víctima subir archivos pequeños para pruebas (ID 2362-2363). Cuando la víctima pregunta por el soporte técnico, LockBit explica que solo «el jefe» tiene acceso al desencriptador («only the boss has access to the decryptor», ID 2379), lo que revela una estructura jerárquica estricta. Además, se observa retraso en las pruebas debido a la ausencia del jefe («boss is silent for 3 days», ID 2389), generando frustración en la víctima (ID 2391-2392). LockBit mantiene la calma, asegurando honestidad («we are not scammers», ID 2396) y pidiendo paciencia, lo que refleja su estrategia de mantener la confianza mientras enfrentan problemas internos.

Estructura organizativa y dependencia del jefe (Chat ID 2413-2426, clientid 182)
La ausencia prolongada del jefe paraliza las operaciones («without him lockbit don’t work», ID 2414), afectando a múltiples equipos («there’s a lot of teams here», ID 2418). LockBit opera como un programa de afiliados («Lockbit is an affiliate program», ID 2421), y el jefe es clave por su control exclusivo de las claves privadas. Su reputación es un punto de orgullo («FBI offers 10 million for Lockbit’s identity», ID 2423), pero la situación genera preocupación interna («I’m worried that something bad will happen to the boss», ID 2426). Esto expone una vulnerabilidad estructural: sin el jefe, no pueden avanzar.

Negociaciones de precios y descuentos (Chat ID 2370-2377, clientid 192; 2407-2408, clientid 193; 2459-2467, clientid 126)
LockBit ajusta precios según la situación. Para clientid 192, piden 0.25 BTC por «all network» (ID 2377). Para clientid 193, exigen $25,000 (ID 2408). En clientid 126, inician con $40,000, pero ofrecen un descuento a $35,000 tras negociación (ID 2460-2462). Sin embargo, se mantienen firmes ante ofertas más bajas («35k or there will be no deal», ID 2471), mostrando flexibilidad limitada y presión para cerrar tratos rápidamente.

Gestión de datos robados y amenazas (Chat ID 2551-2552, clientid 200; 2669, clientid 204)
LockBit usa los datos robados como herramienta de presión. Para clientid 200, afirman tener 102 GB y amenazan con publicarlos si no se paga en 30 días (ID 2552). En clientid 204, detallan haber robado ~100 GB de datos sensibles de Momit Srl, incluyendo contactos de empleados y socios, y amenazan con contactarlos si no hay cooperación (ID 2669). Esto demuestra su estrategia de extorsión doble: cifrado y amenaza de filtración.

Soporte técnico post-pago y resolución de problemas (Chat ID 2605-2634, clientid 182)
Tras el pago, LockBit entrega desencriptadores para Windows y ESXi (ID 2605-2606). La víctima enfrenta problemas técnicos: el sistema operativo bloquea el programa (ID 2608), resuelto al desactivar el antivirus (ID 2610), y dificultades para desencriptar en directorios específicos (ID 2629). LockBit ofrece soporte, sugiriendo comandos como /decrypt -i /root/home/ (ID 2630), pero delega al jefe para respuestas más técnicas (ID 2632). Esto muestra su compromiso post-pago, aunque con limitaciones si el jefe no está disponible.

Reacción ante falta de pago y escalada de amenazas (Chat ID 2828-2840, clientid 197)
Cuando clientid 197 decide no pagar y optar por reconstruir sus datos (ID 2828), LockBit reacciona con amenazas severas: publicarán los datos robados y contactarán a los clientes de la víctima para notificarles del robo (ID 2835). También advierten sobre futuros ataques («and maybe hack them again», ID 2840). Esto refleja su estrategia de castigo ante la falta de cooperación, buscando maximizar el daño reputacional y operativo.

Pruebas de desencriptación y procedimientos técnicos detallados (Chat ID 2843-2847, 2889-2892, 2989-3200, varios clientid)
LockBit proporciona instrucciones estándar para pruebas de desencriptación, limitando archivos a 10 MB en formatos como zip o rar, y usando su servicio de intercambio de archivos en la dark web (ID 2843-2847). Explican detalladamente el proceso para desencriptar en sistemas ESXi (ID 3199), incluyendo pasos como habilitar SSH, subir el desencriptador, ajustar permisos (chmod 777 decrypt), ejecutarlo (./decrypt), y verificar logs (tail -f /tmp/decrypt.llg). También advierten sobre no ejecutar múltiples desencriptadores simultáneamente para evitar corrupción de archivos. Esto muestra un enfoque técnico estructurado y un intento de garantizar el éxito del proceso, aunque insisten en que el soporte técnico completo se brinda tras el pago (ID 3202-3203).

Negociaciones de precios y tácticas de presión (Chat ID 2842, 2848-2850, 2894-2897, 2913-2915, 2924-2925, 2948-2953, 3024-3027, 3041-3046, 3069-3074, 3257-3267, varios clientid)
LockBit ajusta precios según la presión y las negociaciones. Para clientid 209, inician con $1.2M (ID 2953), pero ante resistencia ofrecen un descuento de $100k (ID 3266). Para clientid 236, comienzan con 0.2 BTC, bajan a $5,000, luego a $3,500, y finalmente aceptan $3,000 (ID 3039-3051). En clientid 238, piden $400,000, pero rechazan ofertas de $5,000 y $20,000, mostrando inflexibilidad ante descuentos extremos (ID 3069-3073). En clientid 233, ofrecen un descuento de $21,000 a $17,850 USDT si pagan en 72 horas (ID 2948-2950). Cuando las negociaciones se estancan, amenazan con contactar a los clientes de las víctimas (ID 2894, 3262) o aumentar precios (ID 3027), evidenciando una estrategia de presión psicológica.

Soporte técnico post-pago y resolución de problemas (Chat ID 2855-2875, 2943-2945, 3099-3117, 3137-3140, 3224-3253, clientid 200, 232, 236, 235)
Tras el pago, LockBit entrega desencriptadores y ofrece soporte. Para clientid 236, confirman el pago y envían la herramienta al correo solicitado (ID 3137-3139). En clientid 235, enfrentan problemas de descarga (ID 3244-3252) y resuelven proporcionando un enlace alternativo en su servicio de archivos (ID 3253). En clientid 200, diagnostican fallos de desencriptación (más de 50,000 archivos sin desencriptar), sugiriendo cerrar procesos de acceso a archivos y usar permisos elevados (ID 2869-2870). Cuando los problemas persisten, culpan a posibles modificaciones de archivos por el cliente o a la complejidad de múltiples programas de cifrado usados (ID 3081-3085), mostrando limitaciones técnicas y dependencia del jefe para soluciones avanzadas.

Gestión de datos robados y amenazas de filtración (Chat ID 2894, 2897, 2941-2942, 2964-2967, 3079, 3125, 3145, 3160, 3165-3166, varios clientid)
LockBit usa datos robados para presionar. En clientid 209, amenazan con contactar a los clientes de la víctima si no pagan (ID 2894). Para clientid 213 y 202, advierten que, sin pago, realizarán ataques posteriores y divulgarán datos (ID 2964-2967), fijando fechas límite como el 20 de abril (ID 3079). En clientid 241, envían un listado parcial de datos robados y permiten elegir tres archivos como prueba (ID 3145, 3160), mientras que en clientid 240, aseguran ser los únicos dueños de los datos tras la disolución de RansomHub (ID 3125, 3165), ofreciendo un descuento del 10% hasta el 10 de abril (ID 3166). Esto refuerza su táctica de extorsión doble: cifrado y amenaza de publicación.

Problemas de pago y logística (Chat ID 3010-3019, 3053-3056, 3107-3117, 3222-3223, clientid 232, 236, 235)
LockBit enfrenta problemas logísticos con pagos. En clientid 232, la víctima tiene dificultades para comprar BTC en China, y LockBit sugiere usar intermediarios sin ofrecer soluciones directas (ID 3010-3019). En clientid 236, un error en el monto enviado (0.0036 BTC en lugar de 0.036 BTC) genera tensión, con LockBit acusando a la víctima de «jugar» con ellos, aunque finalmente aceptan un pago adicional (ID 3102-3111). En clientid 235, proporcionan una billetera BTC y confirman la recepción de 0.14557000 BTC (ID 3223-3234), mostrando un proceso estructurado pero con desafíos en la comunicación y ejecución.

Reputación y confianza (Chat ID 2951, 3055, 3073, 3151-3154, 3205-3209, varios clientid)
LockBit enfatiza su reputación para generar confianza. Aseguran no estafar, destacando sus cinco años de operación y su posición como el «equipo número 1 del mundo» (ID 2951, 3077). En clientid 213, insisten en su integridad como parte de la mayor alianza de ransomware y prometen no atacar de nuevo tras el pago (ID 3151-3152). En clientid 212, comparten un video de YouTube (ID 3205) y afirman que su credibilidad es clave para su negocio, asegurando soporte técnico y no cerrar la comunicación tras el pago (ID 3206-3208). Esto refleja su estrategia de posicionarse como un grupo «profesional» para incentivar el pago.

Pruebas de desencriptación y entrega de archivos (Chat ID 3269, 3272, 3274, 3287, 3292, 3304, 3387, 3395, 3426, 3432, 3448-3449, 3464, 3467, 3472, 3476, 3478, 3487, 3491, 3511, 3515, 3516, 3533, 3535, 3536, 3539, 3540, 3543, 3544, 3552, 3558, 3562, 3564, 3566, 3568, 3570, 3572, 3574, 3576, 3578, 3580, 3582, 3588, 3594, 3596, 3597, 3600, 3601, 3611, 3614, 3621, 3623, 3629, 3630, 3633, 3640, 3645, 3646, 3647, 3648, 3651, 3653, 3654, 3655, 3659, 3667, 3672, 3676, 3679, 3680, 3686, 3688, 3690, 3691, 3696, 3698, 3701, varios clientid)
LockBit sigue un protocolo estandarizado para pruebas de desencriptación, solicitando archivos de hasta 10 MB en formatos comprimidos (ID 3269, 3283, 3288, 3295). Entregan archivos desencriptados como prueba (ID 3272, 3274, 3387, 3395), y para clientid 257, proporcionan una lista parcial de datos robados (ID 3651) y archivos específicos tras solicitud (ID 3667). En clientid 246, confirman la recepción de 0.25 BTC y entregan un protocolo de eliminación de datos, garantías de no atacar nuevamente, y detalles de la vulnerabilidad explotada (FortiVPN) (ID 3614). Esto demuestra un proceso estructurado, aunque limitado, para generar confianza.

Negociaciones de precios y presión (Chat ID 3277, 3293, 3302, 3307-3308, 3311, 3312, 3317, 3319, 3320, 3327, 3336, 3337, 3341-3343, 3344, 3346, 3359, 3361, 3364, 3366-3369, 3374-3377, 3384, 3385, 3388-3389, 3390, 3415, 3416, 3420, 3422-3423, 3424, 3451, 3455, 3456-3457, 3460-3461, 3465, 3466, 3471, 3472-3473, 3480, 3482-3483, 3487, 3517-3519, 3521-3522, 3524, 3526, 3531, 3535, 3536, 3541-3542, 3544, 3551, 3553, 3555-3557, 3560-3561, 3563, 3565, 3567, 3569, 3571, 3573, 3575, 3577, 3579, 3581, 3583, 3585, 3587, 3592, 3595, 3599, 3602, 3603, 3610, 3612-3613, 3615-3616, 3618, 3620, 3626, 3633, 3635, 3639, 3641, 3643-3644, 3646-3648, 3650, 3652, 3656-3658, 3660-3661, 3665-3666, 3670-3671, 3677-3678, 3680, 3684-3685, 3689, 3691, 3693-3695, 3697, 3700, varios clientid)
LockBit aplica tácticas de presión ajustando precios y plazos. Para clientid 240, advierten que el descuento termina al día siguiente (ID 3277) y sugieren comprar BTC sin mencionar a LockBit para evitar problemas legales (ID 3308, 3377). En clientid 244, piden 5 BTC, pero ante súplicas por sanciones en Irán, ofrecen un descuento sin especificar (ID 3312, 3412). Para clientid 247, el precio sube de $6,000 a $7,000 tras 48 horas (ID 3317, 3427). En clientid 241, inician con $4,500,000, bajan a $4,000,000 con descuento (ID 3302, 3457), y advierten que el seguro cubre más (ID 3657). Para clientid 251, negocian de $17,000 a $10,000 si pagan rápido (ID 3618, 3665). En clientid 254, rechazan $6,000, insisten en $20,000, y amenazan con publicar datos (ID 3551, 3567). Estas tácticas combinan flexibilidad con presión, ajustándose a la capacidad percibida de las víctimas.

Soporte técnico post-pago y resolución de problemas (Chat ID 3278-3282, 3285-3286, 3294, 3300, 3318, 3326, 3335, 3351-3357, 3358, 3373, 3391-3392, 3394, 3397-3400, 3401, 3405, 3406-3407, 3412, 3421, 3434-3435, 3439, 3440-3442, 3444, 3446, 3489-3492, 3502, 3507, 3509-3510, 3512-3514, 3516, 3520, 3523, 3525, 3527, 3534, 3548-3550, 3558-3559, 3584-3586, 3589, 3595, 3601, 3604-3608, 3614, 3692, 3697, 3699, 3702, varios clientid)
LockBit ofrece soporte limitado tras el pago. Para clientid 246, confirman el pago de 0.25 BTC y entregan un protocolo de eliminación y detalles de la vulnerabilidad (ID 3614). En clientid 250, entregan el desencriptador tras el pago (ID 3589), y la víctima confirma que funciona (ID 3594). Sin embargo, en clientid 200, enfrentan problemas de desencriptación, culpando a la interferencia del software de seguridad de la víctima (ID 3401, 3405), y se niegan a asumir responsabilidad, sugiriendo contactar al proveedor de seguridad (ID 3608). Además, indican que el programa de cifrado se autodestruye tras el ataque (ID 3507), limitando soluciones alternativas. Esto refleja un soporte técnico básico, pero con claras limitaciones y evasión de responsabilidad.

Gestión de datos robados y amenazas de filtración (Chat ID 3269, 3273, 3280-3281, 3299-3300, 3306, 3333, 3336-3337, 3342, 3344, 3346, 3360, 3362-3363, 3365, 3374, 3379-3380, 3383, 3390, 3410, 3429, 3436-3437, 3474, 3479, 3488, 3490-3491, 3511, 3513, 3515-3516, 3520, 3528-3530, 3532, 3537, 3539-3540, 3552, 3560, 3563, 3565, 3567, 3570, 3573, 3575, 3577, 3579, 3581, 3583, 3591, 3593, 3599, 3610-3613, 3617, 3622, 3624, 3629-3630, 3632, 3650, 3652, 3656, 3658, 3663, 3673-3675, 3690, 3700, varios clientid)
LockBit usa los datos robados como herramienta de extorsión. Para clientid 241, confirman haber robado 50 GB (ID 3300) y comparten archivos sensibles como prueba (ID 3273). En clientid 248, proporcionan un árbol de datos robados y amenazan con publicarlos (ID 3365). Para clientid 255, indican 363 GB robados y advierten sobre la publicación si no pagan (ID 3673-3675). En clientid 240, amenazan con iniciar un temporizador en su blog si no hay avances (ID 3342, 3374). Estas amenazas son consistentes, buscando forzar el pago mediante la presión de la exposición pública.

Problemas de pago y logística (Chat ID 3307-3308, 3311, 3341, 3343, 3375, 3377-3378, 3389, 3416, 3418, 3422, 3473, 3482, 3494-3495, 3497-3498, 3525-3526, 3544, 3548, 3558-3559, 3588, 3592, 3600-3601, 3692-3695, 3697, varios clientid)
LockBit enfrenta desafíos con los pagos. En clientid 240, las víctimas mencionan problemas legales por sanciones, y LockBit sugiere usar un monedero BTC alternativo (ID 3377-3378). Para clientid 246, confirman la recepción de 0.25 BTC y preparan respuestas a las solicitudes (ID 3600-3601). En clientid 251, el pago de 0.1172 BTC se realiza rápidamente tras negociar $10,000 (ID 3697). Sin embargo, las víctimas a menudo enfrentan barreras legales o logísticas, como en clientid 244, donde las sanciones en Irán dificultan la compra de BTC (ID 3384).

Reputación y confianza (Chat ID 3282, 3294, 3351-3357, 3405, 3439, 3488, 3505-3506, 3517-3519, 3521-3522, 3591, 3599, 3610, 3613, 3624, 3632, 3652, 3677, varios clientid)
LockBit intenta mantener su reputación. Aseguran no ser responsables por archivos corruptos debido a software de seguridad (ID 3405, 3439), y en clientid 213, garantizan desencriptación tras el pago, pero no rompen sus reglas de precio (ID 3505-3506). Para clientid 209, advierten sobre la privacidad de los datos y su disposición a publicarlos (ID 3488). En clientid 241, justifican su precio mencionando el seguro de la víctima (ID 3677). Esto refleja un esfuerzo por parecer profesionales, aunque su actitud evasiva ante problemas técnicos daña su credibilidad.

Soporte técnico y problemas de desencriptación (Chat ID 3703-3704, 3707-3708, 3710, 3712-3718, 3723-3724, 3729-3730, 3733-3734, 3736, 3738, 3746-3747, 3750, 3756-3759, 3765-3766, 3776, 3779-3784, 3788-3793, 3797-3799, 3824, 3827, 3849, 3871-3873, 3878, 3897, 3900, 3905-3911, 3917, 3929-3943, 3970, 3976-3981, 3983, 3986-3987, 4006, 4008, 4011, 4013-4017, 4021, 4078, 4082-4084, 4087-4088, 4091, 4094-4096, 4098, 4100, 4102, 4105, varios clientid)
LockBit enfrenta problemas recurrentes con la desencriptación, especialmente en entornos ESXI y VMDK. Para clientid 251, entregan un desencriptador para ESXI (ID 3703-3704), pero la víctima reporta que no funciona en Ubuntu y solicita uno para Windows (ID 3707-3716). LockBit insiste en que debe ejecutarse en el host ESXI original (ID 3718) y se niega a proporcionar uno para Windows (ID 3717). En clientid 263, un archivo desencriptado resulta corrupto (ID 3733), y LockBit pide más archivos para probar (ID 3734). Para clientid 200, la víctima insiste en que no hay software de seguridad que haya dañado los datos (ID 3736, 3738), pero LockBit culpa a interferencias externas (ID 3756). En clientid 266, las víctimas reportan que más del 90% de los VMDK tienen sufijos con errores (ID 3790-3791), y aunque LockBit asegura que el desencriptador funcionará (ID 3875), los archivos devueltos siguen dañados (ID 3909, 3911). Esto revela una falta de soporte técnico robusto y una tendencia a culpar a las víctimas por fallos.

Negociaciones y presión de precios (Chat ID 3711, 3726-3727, 3731-3732, 3735, 3737, 3739, 3761-3764, 3767, 3772-3775, 3785, 3795, 3810, 3816-3818, 3828, 3830, 3861, 3864-3865, 3869, 3973, 3982, 3991, 3994-3995, 3998-3999, 4007, 4010, 4012, 4018-4020, 4022-4024, 4027, 4039, 4041-4043, 4046, 4051-4052, 4066-4067, 4089, 4092, 4106-4109, 4111-4115, 4120, 4124-4128, 4132, 4134-4135, 4138, 4141, 4143-4145, 4147, 4151, 4153-4154, varios clientid)
LockBit aplica presión constante para forzar pagos. Para clientid 234, suben el precio de 18,000 a 42,000 USDT por falta de contacto (ID 3763, 3797), pero lo reducen a 15,000 USDT tras negociar (ID 4020). En clientid 264, piden 50,000 USD (ID 3731) y ofrecen un 30% de descuento (ID 3774). Para clientid 263, exigen 2 millones de USD (ID 3828), amenazando con duplicar el precio en 48 horas (ID 4110), pero ofrecen no publicar datos de ciertas empresas por 200,000 USD (ID 3923). En clientid 266, insisten en 70,000 USD (ID 4106) a pesar de las súplicas de la víctima por un precio menor (ID 4129, 4145). Para clientid 267, ofrecen un 15% de descuento si pagan rápido (ID 3991). Estas tácticas combinan amenazas con descuentos limitados para presionar a las víctimas.

Gestión de datos robados y amenazas de filtración (Chat ID 3722, 3728, 3796, 3806, 3862-3863, 3893, 3904, 3906, 3912-3913, 3915, 3918-3920, 3923, 3925-3926, 4032, 4110, varios clientid)
LockBit utiliza los datos robados como herramienta de extorsión. Para clientid 263, revelan haber robado 2 TB y atacado a 24 empresas a través de su red (ID 3722), exigiendo 2 millones de USD y amenazando con publicar los datos si no pagan (ID 3915). Ofrecen no listar a algunas empresas por 200,000 USD, pero insisten en que todos deben pagar para recibir el desencriptador (ID 3923, 3925-3926). En clientid 265, comparten un enlace con el árbol de datos robados (ID 3806), y en clientid 271 y 272, también proporcionan enlaces similares (ID 3904, 3906). Estas acciones buscan presionar a las víctimas mostrando el alcance del daño.

Problemas de logística y comunicación (Chat ID 3719-3720, 3740-3742, 3753-3755, 3800-3804, 3809, 3811-3814, 3820, 3822, 3831, 3833-3840, 3842-3848, 3851, 3854, 3856, 3860, 3866, 3868-3870, 3899, 3901, 3927-3928, 3949, 3965-3966, 3968, 3972, 3974, 3984, 3989, 4004-4005, 4031, 4034, 4036-4037, 4040, 4050, 4058, 4067-4068, 4080, 4084, 4087, 4090, 4098, 4100-4101, varios clientid)
LockBit muestra problemas logísticos y de comunicación. En clientid 266, las víctimas intentan enviar archivos, pero enfrentan límites de descarga en el servicio usado (ID 3812, 3831), y LockBit se niega a usar enlaces externos (ID 3809). Para clientid 263, las víctimas piden más tiempo para coordinar con las empresas afectadas (ID 4032). En clientid 241, LockBit detiene el envío de correos a empleados tras una solicitud (ID 3811, 3851). Además, frecuentemente culpan a la falta de respuesta del «jefe» por demoras (ID 3995, 3999), lo que refleja una estructura operativa rígida y dependiente.

Reputación y confianza (Chat ID 3756, 3800-3804, 3851, 3954-3955, 3956, 4031-4043, 4046-4062, 4064-4070, 4072-4074, 4077-4081, 4084-4085, 4087-4088, 4090-4092, 4094-4096, 4098-4103, 4111, 4113, 4118, 4120, 4122, 4136, 4139, varios clientid)
LockBit intenta defender su reputación, pero enfrenta críticas. En clientid 234 y 275, un intermediario acusa a LockBit de cerrar chats tras pagos sin resolver problemas (ID 4031, 4044), y LockBit se defiende afirmando que son un equipo diferente dentro de la alianza (ID 4033, 4043). Ofrecen garantías de reembolso (ID 4091, 4096), pero su actitud evasiva y el uso de insultos como «stupid guy» (ID 4051, 4058) dañan su credibilidad. Para clientid 266, aseguran tener una reputación de más de 6 años (ID 3954), pero la víctima sigue dudando debido a los problemas técnicos (ID 4111).

Vulnerabilidades y promesas de no atacar nuevamente (Chat ID 4148, 4151-4152, varios clientid)
LockBit promete revelar vulnerabilidades y garantizar no atacar nuevamente tras el pago. Para clientid 266, confirman que proporcionarán detalles de la intrusión y aseguran que el ransomware no volverá a molestar, pero solo después de pagar 70,000 USD (ID 4151-4152). Esto es parte de su estrategia para incentivar el pago, aunque no hay garantía real de cumplimiento.

Negociaciones finales y cierre de acuerdos (Chat ID 4155-4174, 4186-4188, 4194, 4196-4199, 4204-4206, 4208, 4210-4213, 4220-4221, 4227-4230, 4293-4294, 4296, 4298-4302, 4314, 4319, clientid 266, 273)
En clientid 266, LockBit y la víctima negocian intensamente. La víctima reconoce problemas con la desencriptación, pero ofrece no causar problemas ni dañar la reputación de LockBit (ID 4168). Tras descuentos (de 70,000 USD a 60,000 USD, ID 4169-4174), la víctima paga 0.6465 BTC (ID 4213). LockBit entrega el desencriptador para ESXI (ID 4227-4228) y promete uno para Windows (ID 4229), enviado luego en clientid 273 (ID 4319). Sin embargo, la víctima reporta que solo una pequeña cantidad de VMDK se desencriptó (ID 4317), mostrando nuevamente problemas técnicos de LockBit.

Revelación de métodos de intrusión (Chat ID 4189-4190, 4231-4241, 4243-4248, 4250-4265, 4270-4274, clientid 266)
La víctima pide un informe detallado sobre la intrusión (ID 4189). LockBit revela que usaron phishing para capturar el dominio y accedieron al host del administrador «Vincent» (ID 4258). El punto de entrada fue el usuario «tini» (ID 4264), no un insider (ID 4261). También admiten haber controlado la computadora de Vincent y eliminado los datos tras el pago (ID 4254). LockBit critica la gestión de respaldos en el dominio (ID 4253), pero se niega a dar un informe detallado (ID 4271), alegando que ya explicaron lo suficiente (ID 4274).

Presión y amenazas en nuevas víctimas (Chat ID 4185, 4191, 4287-4292, 4331-4340, 4346, 4495-4521, clientid 263, 272)
En clientid 272, LockBit ofrece un 10% de descuento si pagan rápido (ID 4191). Para clientid 263, con 20 empresas afectadas, LockBit exige 2 millones de USD (ID 4292). Tras negociaciones, aceptan el pago para el viernes 2 de mayo de 2025 (ID 4519), pero insisten en un adelanto (ID 4505). La víctima confirma 1.54 millones de USD reunidos (ID 4331) y LockBit acepta esperar, enviando billeteras para el pago (ID 4521). LockBit también detalla datos robados (2 TB) y amenaza con publicarlos (ID 4292), mostrando su táctica de presión.

Problemas técnicos persistentes (Chat ID 4293, 4294, 4316-4317, 4344, 4353, clientid 266, 274)
En clientid 266, la víctima reporta que el desencriptador ESXI no funciona (ID 4293), y LockBit da instrucciones específicas (ID 4294). Sin embargo, los datos siguen dañados (ID 4317). En clientid 274, una entidad gubernamental rusa recibe un desencriptador gratuito (ID 4325), pero no funciona (ID 4344), y LockBit sugiere ejecutarlo como administrador (ID 4353), evidenciando problemas técnicos recurrentes.

Negociaciones con instituciones no lucrativas (Chat ID 4354-4362, 4367-4368, 4371, 4373-4374, 4376, 4379-4390, 4392-4394, 4396-4398, 4400-4401, 4407-4408, 4413-4414, 4417-4419, 4421-4424, 4426-4427, 4429-4431, 4434-4435, 4440, 4455, clientid 278)
Clientid 278, una escuela sin fines de lucro, enfrenta un rescate de 100,000 USD (ID 4395). La víctima suplica, ofreciendo 4,000 USD (ID 4400) y luego 10,000 USD (ID 4429), alegando problemas financieros y personales (ID 4407-4408). LockBit insiste en el precio, rechazando descuentos significativos (ID 4465), y la víctima teme perder su empleo (ID 4427). Las pruebas de desencriptación fallan (ID 4368), aumentando la desconfianza.

Nuevas víctimas y tácticas agresivas (Chat ID 4444-4470, 4479, clientid 279)
En clientid 279, LockBit roba 400 GB de datos (ID 4450) y exige 90,000 EUR (ID 4454). La víctima, una pequeña empresa, ofrece 2,000 EUR (ID 4458), pero LockBit muestra estados bancarios con 403,000 EUR (ID 4462) y amenaza con publicar los datos (ID 4468). Tras ofertas «insultantes» (ID 4470), LockBit impone 24 horas de silencio (ID 4485), mostrando su enfoque inflexible.