הגיחה לעולם: גרסה חדשה של כופרת LockBit – "מסוכנת ביותר"

זוהתה גרסה חדשה של כופרת LockBit, שהיא "מסוכנת משמעותית" מגרסאות קודמות. את הגרסה החדשה של הכופרה, שנצפתה בפעולה, חשפו חוקרי טרנד מיקרו (Trend Micro).

על פי הדיווחים, כנופיית הכופרה הידועה לשמצה המכונה לוקביט הודיעה על שחרור של גרסה LockBit 5.0 החודש, לציון יום השנה השישי לפעילותה.

החוקרים גילו מאז את הגרסה החדשה בכמה וריאציות. "קיומן של גרסאות של הכופרה עבור חלונות, לינוקס ו-ESXi מאשר את המשך האסטרטגיה חוצת-הפלטפורמות של לוקביט", כתבו החוקרים. "מצב זה מאפשר מימוש של כמה מתקפות בו-זמנית, על פני רשתות ארגוניות שלמות – מתחנות עבודה ועד שרתים קריטיים המארחים בסיסי נתונים ופלטפורמת וירטואליזציה", הם ציינו. 

הגרסאות החדשות מספקות אפשרויות פריסה והגדרות מפורטות יותר עבור "שותפים" (האקרים הפועלים כ'קבלני משנה'). בנוסף ציינו החוקרים כי "גרסה LockBit 5.0 מכילה שיפורים טכניים משמעותיים, כולל הסרת סמני זיהוי, הצפנה מהירה יותר והתחמקות משופרת".

LockBit has relaunched with version 5.0, announced on Ramp Forum on September 3, 2025. This update features a redesigned affiliate panel and enhanced ransomware-as-a-service (RaaS) capabilities, aiming to recover from 2024 law enforcement actions that seized servers and leaked… pic.twitter.com/b83zQglrR9

— David Kasabji (@roo7cause) September 28, 2025

לוקביט – שרדנות ונחישות

בספטמבר 2024 מצאו חוקרי פורסקאוט, הישראלית במקורה, כי לוקביט הייתה קבוצת האיום הפעילה ביותר באותה שנה, בוודאי בתחום שלה – מתקפות כופרה – והייתה אחראית ל-15% מהמתקפות. זאת, למרות מבצע אכיפת חוק בינלאומי שכוון לתשתית הקבוצה בפברואר 2024, כחלק ממבצע קרונוס.

בחודש מאי 2024 הוגש נגדו בארה"ב כתב אישום. דימיטרי חרושב, מפתח LockBit. צילום: באדיבות משרד האוצר של ארה''ב

הקבוצה זוהתה ב-2019 והחוקרים לא משייכים אותה למדינה מסוימת. בסוף יוני 2022 היא השיקה את הגרסה השלישית של הכופרה שלה. בחודש מאי 2024 הוגש בארה"ב כתב אישום נגד מפתח הכופרה, דימיטרי חרושב, והמדינה אף הציעה 10 מיליון דולר תמורת קבלת מידע עליו. בסוף 2024 הגישה הפרקליטות בקשת הסגרה לארה"ב של אחד החברים בכנופייה, רוסטיסלב פאנב.

לפי החוקרים, למרות שסוכנויות אכיפת החוק פעלו כנגד התשתית של לוקביט בתחילת 2024, "הרי שהקבוצה הפגינה חוסן ויכולת להקדים את המתחרים באמצעות התפתחות אגרסיבית של הטקטיקות, הטכניקות והנהלים (TTPs) שלה".

גרסת Windows של LockBit 5.0 נמצאה כבעלת ממשק משתמש טוב יותר, עם עיצוב נקי עבור שותפים, בהשוואה לגרסאות קודמות. "(במדריך ההפעלה שלה – י"ה) מתוארות אפשרויות והגדרות שונות להפעלת הכופרה, כולל אפשרויות בסיסיות, מצבי פעולה, הגדרות הערות והגדרות הצפנה, אפשרויות סינון ודוגמאות לשימוש", כתבו החוקרים. "הפקודות והמדדים המפורטים ממחישים את הגמישות וההתאמה האישית שזמינה לתוקף".

"הם יכולים להצפין סביבות וירטואליות שלמות עם נוזקה אחת"

לאחר שהיא שוגרה ותקפה בהצלחה את מערכות הקורבן, הכופרה מייצרת את פתק הדרישה לדמי הכופר ומפנה את הקורבנות לאתר דליפות ייעודי. התשתית שומרת על מודל האינטראקציה המוכר של קבוצת לוקביט, הכולל קטע של "צ'אט עם תמיכה", לטובת ניהול המשא ומתן על הכופר. הגרסה החדשה מתוחכמת יותר, ומקשה על ההתאוששות מהפגיעה בה, כמו גם מקשה על הניתוח שלה".

"גרסת ה-ESXi מכוונת במיוחד לתשתית הווירטואליזציה של VMware", ציינו החוקרים, "והיא מייצגת הסלמה קריטית ביכולות של לוקביט: הם יכולים להצפין סביבות וירטואליות שלמות עם נוזקה אחת".

החוקרים ציינו כי הבחינו בשימוש חוזר, משמעותי, בשורות קוד מ-LockBit 4.0 שהועתקו בשלמותן ל-5.0, מה שמדגים כי "הגרסה החדשה היא פיתוח בעל התפתחות – ולא שכתוב מלא. לכן, סביר להניח ש-5.0 היא המשך של משפחת הכופרות LockBit – ולא חיקוי, או מיתוג מחדש שנעשו על ידי גורמי איום אחרים".