הפרקליטות מבקשת להסגיר לארה"ב חבר בכנופיית ההאקרים LockBit

המחלקה הבינלאומית בפרקליטות המדינה הגישה באחרונה עתירה לבית המשפט המחוזי בירושלים, שמבקשת להכריז על רוסטיסלב פאנב, מפתח וחבר בכנופיית ההאקרים הידועה לשמצה LockBit, כמי שהוא בר הסגרה לארצות הברית. זאת, לצורך העמדתו לדין שם, בעבירות של קשירת קשר לביצוע מרמה ופעילות הקשורה למחשבים, קשירת קשר להונאה באמצעים אלקטרוניים ועבירות מחשב נוספות.

העתירה הוגשה באוקטובר האחרון והיום (ה') הוסר צו איסור הפרסום בעניינה. על פי בקשת ההסגרה, "LockBit היא קבוצה עבריינית, מהבולטות בעולם בתחום מתקפות כופרה, שפיתחה תוכנת כופרה כשירות. התוכנה שימשה לתקיפת מחשבים של כ-2,500 קורבנות, שנדרשו לשלם דמי כופר בתמורה לשחרור מחשביהם ומידע רגיש. במקרים של סירוב תשלום, המידע שנגנב פורסם על גבי שרת ייעודי של הקבוצה".

מפרטי בקשת ההסגרה עולה כי בין השנים 2024-2019, פאנב שימש כמפתח תוכנה ב-LockBit. במסגרת פעילותו, נכתב, "הוא פיתח רכיבים מתקדמים, בהם כלי שמאפשר הדפסת מכתבי כופר מכל מדפסת המחוברת למחשב המותקף". עוד טוענת הפרקליטות שבתמורה לעבודתו, פאנב קיבל שכר של כ-230 אלף דולר, ששולמו במטבע ביטקוין.

פאנב נעצר בישראל ב-18 באוגוסט האחרון. לאחר קבלת בקשת הסגרה רשמית מארצות הברית, שר המשפטים, יריב לוין, חתם על ההוראה המתאימה, שבעקבותיה הוגשה העתירה להכרזתו כבר הסגרה.

עוד הוגשה בקשה למעצרו עד להכרעה בעתירה. בתיק מטפל עו"ד אבי קרוננברג מהמחלקה הבינלאומית בפרקליטות המדינה. מעצרו של פאנב נערך על ידי מחלקת תיאום מבצעי בחטיבת המודיעין של המשטרה. הדיון בעתירה נקבע ל-5 בינואר, בבית המשפט המחוזי בירושלים.

מיהי קבוצת ההאקרים הידועה לשמצה?

בספטמבר השנה פרסמנו מחקר של פורסקאוט, הישראלית במקורה, שלפיו חלה עלייה של 6% במתקפות כופרה במחצית הראשונה של השנה, בהשוואה לתקופה המקבילה אשתקד. לפי המחקר, LockBit הייתה קבוצת האיום הפעילה ביותר בתקופה זו, והייתה אחראית ל-15% מההתקפות. זאת, למרות מבצע אכיפת חוק בינלאומי שכוון לתשתית של הקבוצה.

במבצע קרונוס, שנערך בפברואר השנה על ידי ה-FBI, היורופול ושותפים בינלאומיים נוספים – רשויות אכיפת החוק של 12 מדינות שיבשו את התשתית המשמשת את סינדיקט הכופרה, שפעל גם בישראל, ופגע בה בעשרות קורבנות. אמנם זוהו כמה קמפיינים משמעותיים של LockBit גם אחרי השיבוש, אך היו אלה כנופיות אחרות שהשתמשו בנוזקות שלה.

במבצע השתלטו כוחות אכיפת החוק על סביבת הניהול המרכזית של LockBit ועל אתר המשמש את הקבוצה להדלפת נתונים ששייכים לקורבנותיה. בנוסף, נתפסו שירות שיתוף הקבצים, שרת התקשורת, שרתי התמיכה ושרתים נוספים של הקבוצה. צוותי האבטחה של רשויות האכיפה הצליחו להשיג גישה לכמעט 1,000 מפתחות פענוח, שאפשרו לעזור לקורבנות לפענח את המערכות שהוצפנו על ידי LockBit ולהשיב להם את הגישה לנתונים שלהם. כמו כן, נתפס קוד המקור של פלטפורמת LockBit, הוקפאו יותר מ-200 חשבונות קריפטו המקושרים לקבוצה ונעצרו שני חברים מרכזיים בה – בפולין ובאוקראינה.

מתקפות כופרה ותשלום במטבע וירטואלי. קבוצת LockBit. צילום: ShutterStock

במאי השנה, משרד החוץ האמריקני הציע פרס של עד 10 מיליון דולר עבור מידע שיוביל למעצרו של דימיטרי יוריביץ' חרושב, בן 31 מרוסיה, שנמנה עם צוות מפתחי הכופרה LockBit. בכתב אישום נגד חרושב, נטען כי הכנופייה חדרה לחברות IT כמו אקסנצ'ר ו-CDW – ומשם גם ללקוחותיהן. לפי כתב האישום, שהוא בן 26 סעיפים, חרושב קיבל 20% מכל תשלום דמי כופר שנסחט מהקורבנות.

אחת הקבוצות הפעילות והיעילות ביותר בתחומה

קבוצת הכופרה LockBit פעלה ארבע שנים, והיא הייתה אחת מהקבוצות הפעילות והיעילות ביותר בעולם בתחומה. היא הובילה בראש רשימת הכופרות הפעילות ביותר פעמים רבות, והייתה אף השכיחה ביותר. מאז שהגיחה לעולם הכופרה ב-2019, בגרסתה הראשונה, LockBit אחראית על מאות תקיפות נגד יעדים מכל מגזר, בכל גודל ובכל רחבי העולם. הקבוצה מציעה את המוצר שלה ככופרה כשירות, מה שאומר שהיא חולקת את הרווחים עם השוכרים.

לפי מערך הסייבר הלאומי, "בחודשים האחרונים זוהו בישראל תקיפות רבות שמשתמשות בכופרה. 3.0 LockBit היא הגרסה שבאמצעותה בוצעו מרב התקיפות שזוהו בישראל, כאשר בחלקן נראה שהתוקפים הם לקוחות של הקבוצה, וחלקם מנצלים את קוד המקור כדי להשתמש בכופרה לצורך האישי והבלעדי שלהם".

על פי NCA, סוכנות הפשע הלאומית של ארצות הברית, מתקפות הכופר של קבוצת ההאקרים כוונו לאלפי קורבנות ברחבי העולם וגרמו להפסדים במיליארדי דולרים – הן בתשלומים של דמי כופר והן בעלויות התאוששות.

למרות פירוק התשתית של LockBit, מומחים העריכו שבטווח הארוך, חבריה יתאוששו.