"קאמבק": LockBit שבה לפעול – וכבר פגעה בקורבנות

לאחר חודשים של שמועות על קאמבק, מחקר חדש מצביע על כך שקבוצת הכופרה LockBit אמנם שבה לפעול, וקורבנות חדשים שלה זוהו בסוף הקיץ. החוקרים, מצ'ק פוינט, זיהו לפחות 12 ארגונים שנפגעו ממתקפות כופרה של הקבוצה הנודעת לשמצה, שאירעה בחודש שעבר.

לפי ענקית הגנת הסייבר הישראלית, מחצית מהקורבנות שנצפו נדבקו בגרסה החדשה, LockBit 5.0, בעוד שהשאר הותקפו בגרסת 3.0, הידועה גם בשם LockBit Black. כלים של גרסה זו הודלפו ב-2022 – מה שאפשר גם לפושעי סייבר אחרים, שאינם קשורים לקבוצת הכופרה, לעשות בהם שימוש.

זיהוי הקבוצה כפעילה וזיהוי הקורבנות החדשים מגיעים יותר משנה לאחר שפעילות LockBit שובשה בקרונוס – מבצע בינלאומי, שהפיל חלק מתשתית הקבוצה בתחילת 2024.

לדברי החוקרים, "זיהינו סימן ברור לכך שהתשתית ורשת השותפים של LockBit פעילות, שוב". הם זיהו כי חברי הקבוצה ביצעו מתקפות רבות, שהפילו קורבנות, במערב אירופה, אמריקה ואסיה. הן השפיעו על מערכות Windows, לינוקס ו-ESXi. לפי החוקרים, "מתקפות LockBit 5.0 שנצפו באחרונה מקיפות מגוון רחב של מטרות – כ-80% על מערכות Windows, וכ-20% בסביבות ESXi ולינוקס. מספר הקורבנות, שהופיע במהירות, ממחיש כי מודל הכופרה כשירות (RaaS) עבד מחדש בהצלחה מול בסיס השותפים של הקבוצה".

התפתחות משמעותית של הקבוצה בהיבט ההצפנה

הממצאים החדשים תואמים את ההודעה של LockBit על חזרתה לפורומים מחתרתיים והחשיפה שלה את LockBit 5.0, לציון יום השנה השישי של הקבוצה. ההודעה והחשיפה בוצעו בתחילת ספטמבר, וחבריה קראו לשותפים חדשים להצטרף.

על פי חוקרי צ'ק פוינט, LockBit 5.0, שזכתה לשם הקוד הפנימי ChuongDong, מסמנת התפתחות משמעותית של הקבוצה בהיבט ההצפנה. יש בגרסה החדשה כמה עדכונים, "שנועדו לשפר את היעילות, האבטחה והחמקנות, כולל תמיכה בפלטפורמות רבות, מנגנונים משופרים לשיבוש חקירה פורנזית, זיהוי ואיתור, וצמצום זמני חלונות התגובה עבור המגינים", ציינו.

לפי המדווח, קבוצת האיומים גם חידשה את פאנל השותפים שלה, המספק כעת ממשק ניהול משופר עם אישורים אישיים.

"כדי להצטרף, השותפים חייבים להפקיד כ-500 דולר בביטקוין, לקבלת גישה ללוח הבקרה ולמצפינים. מטרת המודל היא לשמור על בלעדיות ולבדוק את המשתתפים. פתקי כופר מעודכנים מזהים את עצמם כעת כ-LockBit 5.0 וכוללים קישורי משא ומתן מותאמים אישית, שמעניקים לקורבנות תאריך יעד של 30 יום לפני פרסום הנתונים הגנובים", כתבו חוקרי צ'ק פוינט.

מפעילת ה-RaaS הדומיננטית ביותר בעולם – לפחות בעבר

המפתח של LockBit הוא ההאקר הישראלי-רוסי רוסתיסלב פאנב. הוא נעצר בארץ, הוסגר לארצות הברית ובימים אלה עומד שם למשפט.

עד להשבתת הקבוצה, בתחילת 2024, הייתה LockBit מפעילת ה-RaaS הדומיננטית ביותר בעולם, והייתה אחראית ל-20%-30% מכלל נתוני קורבנות שהודלפו באופן יזום, כחלק מהפעלת לחץ לתשלום דמי הכופר. מבצע קרונוס הביא לכמה מעצרים ותפיסות נתונים, וכן שיבש את תשתית הארגון. קבוצות כופרה מתחרות ניסו לתפוס את מקומה של LockBit.

חוקרי צ'ק פוינט כתבו ש-"יש מתח רב בפעילות המחתרתית כיום. ככל שצצות קבוצות כופרה קטנות יותר, הן נזהרות יותר ויותר מהנראות ומתשומת הלב של רשויות אכיפת החוק – שקבוצות גדולות כמו LockBit מושכות. עם זאת, השיבה המחודשת של LockBit יכולה לאותת על ריכוז מחדש של כלל פעילויות ה-RaaS תחת שחקן יחיד ומנוסה". לדבריהם, "חזרתה של LockBit מהווה איום מחודש על ארגונים בכל המגזרים. נראה שאנחנו רק בתחילתו של קמפיין גדול יותר".