ארה"ב ובריטניה שיבשו את הפעילות של קבוצת הכופרה LockBit

רשויות אכיפת החוק של 12 מדינות הודיעו אתמול (ג') כי תפסו שרתים ושיבשו את התשתית המשמשת את סינדיקט הכופרה LockBit. זאת, כחלק משורה של צעדים לסיכול פעילות הקבוצה. לפי מערך הסייבר הלאומי, הקבוצה פעלה גם בישראל, ופגעה בה בעשרות קורבנות.

המבצע, שזכה לכינוי קרונוס, נוהל במשותף על ידי ה-FBI, היורופול וסוכנות הפשע הלאומית הבריטית (NCA), לצד שותפים בינלאומיים רבים. במהלכו השתלטו כוחות אכיפת החוק על סביבת הניהול המרכזית של LockBit ועל אתר המשמש את הקבוצה להדלפת נתונים ששייכים לקורבנותיה. בנוסף, נתפסו שירות שיתוף הקבצים, שרת התקשורת, שרתי התמיכה ושרתים נוספים של LockBit.

כחלק מהמבצע, צוותי האבטחה של רשויות האכיפה הצליחו להשיג גישה לכמעט 1,000 מפתחות פענוח, שמאפשרים עתה לעזור לקורבנות לפענח את המערכות שהוצפנו על ידי LockBit ולהשיב להם את הגישה לנתונים שלהם. כמו כן, נתפס קוד המקור של פלטפורמת LockBit, הוקפאו יותר מ-200 חשבונות קריפטו המקושרים לקבוצה ונעצרו שני שחקנים מרכזיים שלה – בפולין ובאוקראינה.

מאות תקיפות נגד יעדים מכל מגזר, מכל גודל ומכל מקום

קבוצת הכופרה LockBit פועלת כבר ארבע שנים והיא אחת מהקבוצות הפעילות והיעילות ביותר בעולם בתחומה. היא מובילה בראש רשימת הכופרות הפעילות ביותר פעמים רבות, והיא אף השכיחה ביותר. מאז שהגיחה לעולם הכופרה ב-2019, בגרסתה הראשונה, LockBit אחראית על מאות תקיפות נגד יעדים מכל מגזר, בכל גודל ובכל רחבי העולם. הקבוצה מציעה את המוצר שלה ככופרה כשירות, מה שאומר שהיא חולקת את הרווחים עם השוכרים.

לפי מערך הסייבר, "בחודשים האחרונים זוהו בישראל תקיפות רבות שמשתמשות בכופרת LockBit. רבות מהן דווחו למוקד 119 של מערך הסייבר הלאומי. 3.0 LockBit הגרסה שבאמצעותה בוצעו מרב התקיפות שזוהו בישראל, כאשר בחלקן נראה שהתוקפים הם לקוחות של LockBit, וחלקם מנצלים את קוד המקור כדי להשתמש בכופרה לצורך האישי והבלעדי שלהם".

על פי NCA, מתקפות הכופר של LockBit כוונו לאלפי קורבנות ברחבי העולם וגרמו להפסדים במיליארדי דולרים, הן בתשלומים של דמי כופר והן בעלויות התאוששות. הקבוצה סיפקה תוכנת כופר כשירות לרשת עולמית של האקרים, או "שותפים", וסיפקה להם את הכלים והתשתית הנדרשים לביצוע המתקפות.

האם זה הסוף של LockBit?

ניר יהושע, סמנכ"ל מחקר ב-CyFox, שמתמחה בפתרונות אבטחה מבוססי בינה מלאכותית, ציין כי "פירוק התשתית של LockBit מהווה מכה קשה לקבוצה, אך בטווח הארוך, ההערכה היא שחבריה יתאוששו. יחד עם זאת, אני מניח שאלפי הקורבנות של קבוצת התקיפה יחוו ירידה במתקפות עליהם בזמן הקרוב".

לדבריו, "על פי ניתוחים שונים בעולם, הקבוצה הצליחה להגיע ל-2,000 קורבנות והניבה לעצמה רווח של כ-120 מיליון דולר מדמי כופר. פעולת רשויות החוק מדגישה את החשיבות של שיתוף הפעולה הבינלאומי נגד פשעי סייבר, ואת החשיבות העצומה שיש לתת להמשך פיתוח טכנולוגיות בתחום האבטחה. זאת, לצד הגדרת רגולציה יעילה נגד איומי כופרה ונוזקות מתקדמות אחרות".

במערך הסייבר הלאומי מציעים כמה צעדים כדי להתגונן מפני מתקפה שכזו: הפעלת מערכות אבטחה לצורך זיהוי ומניעה של תקיפות אלה; ניהול מאובטח של רשת הארגון, לרבות פילוח והפרדת נכסים ברשת, למניעת מעבר בין חלקים ברשת; יישום סיסמאות חזקות; אימות רב שלבי (MFA), בנוסף לסיסמה; והכנת גיבויים לכלל המערכות.