على الرغم من إنزاله وإذلاله من قبل الوكالة الوطنية لمكافحة الجريمة (NCA) المنسقة عملية كرونوس في فبراير 2024، قام فرد (أفراد) غير معروف مرتبط بعصابة LockBit Ransomware أو يدعي أنه يمثلها بكشف الغطاء للإعلان عن الإصدار الوشيك لبرنامج ضار جديد للخزانة، LockBit 4.0.
في لقطات الشاشة المأخوذة من شبكة الإنترنت المظلمة والتي تم تداولها على نطاق واسع على وسائل التواصل الاجتماعي في اليوم الماضي، دعا المجرم الإلكتروني المفترض الأطراف المهتمة إلى “التسجيل وبدء رحلة الملياردير الخاص بك في 5 دقائق معنا”، ووعدهم بالوصول إلى السيارات الفخمة و نحيف. في وقت كتابة هذا المقال، لم يكن أي من الروابط الموجودة في المنشور مباشرًا في أي مكان، بينما يشير مؤقت العد التنازلي إلى تاريخ “الإطلاق” في 3 فبراير 2025.
روبرت فيتزسيمونز، كبير مهندسي استخبارات التهديدات في كشاف سايبرقال إنه من الصعب في هذه المرحلة تحديد ما يتضمنه LockBit 4.0 – ما إذا كانت العصابة تطلق موقعًا جديدًا للتسرب، أو تم الاستيلاء على موقعها القديم، أو ما إذا كانت قد أجرت تغييرات على برنامج الفدية الخاص بها.
“من الجدير بالذكر أن LockBit قد خضع بالفعل للعديد من التكرارات، وعلامته التجارية الحالية هي LockBit 3.0. لذلك ليس من المستغرب أن يتم تحديث LockBit مرة أخرى – وبالنظر إلى الضرر الذي أحدثته عملية Cronos لإنفاذ القانون في وقت سابق من هذا العام – فمن الواضح أن هناك دافعًا لـ LockBit لتغيير الأمور وإعادة تأسيس بيانات اعتمادها، مع الأخذ في الاعتبار قال فيتزسيمونز: “إن موقع LockBit 3.0 قد تم اختطافه وتشويهه من قبل سلطات إنفاذ القانون”.
“لقد كان هناك انخفاض في عدد ضحايا LockBit منذ عملية Cronos ولكن هذا المنشور يوضح أنها لا تزال تحاول جذب الشركات التابعة ومواصلة عملياتها.”
ويأتي إعلان العصابة المفاجئ بعد أيام قليلة من ظهور أن حكومة الولايات المتحدة تسعى إلى تسليم إسرائيل عميلاً مزعومًا لشركة LockBit. اسمه روتيسلاف بانيف لمواجهة المحاكمة بتهمة الاحتيال السلكي والجرائم السيبرانية.
وكان بانيف قد اعتقل في حيفا بإسرائيل في أغسطس/آب الماضي. بحسب موقع واي نت الإخباري الإسرائيلي، التي كانت أول من أبلغ عن طلب التسليم، تم تقييد أخبار اعتقاله حتى الآن لتجنب إبلاغ شركاء LockBit الآخرين الذين قد يكونون موجودين خارج روسيا ومنحهم فرصة للهروب إلى الأمان النسبي المتوفر لهم هناك.
وبانيف متهم بالعمل كمطور برامج لشركة LockBit وربما يكون قد أنشأ الآلية التي تمكنت العصابة من خلالها من طباعة ملاحظات الفدية على الطابعات المتصلة بالأنظمة المخترقة. وقال محامي بانيف لموقع Ynet إنه كان فني كمبيوتر ولم يكن على علم بأي عملية احتيال أو ابتزاز أو غسيل أموال ولم يكن متورطًا فيها.
تدرك مجلة Computer Weekly أنه من المقرر عقد جلسة استماع لتسليم المجرمين في هذه الحالة في يناير 2025.
LockBit معطل ولكن ليس خارجا؟
منذ أن تم الكشف عن عملية كرونوس في أوائل عام 2024، قامت وكالة الجريمة الوطنية (NCA) والوكالات الأخرى التي شاركت في عملية الإزالة بتزويد المزيد من المعلومات حول العملية الإجرامية السيبرانية سيئة السمعة.
بشهر مايو، كشفت NCA عن زعيمها LockBitSuppووصفته بأنه مواطن روسي ديمتري خوروشيف واستهدفته بتجميد أصوله وحظر السفر، بالتزامن مع لائحة اتهام في الولايات المتحدة اتهمته بما مجموعه 26 تهمة بالاحتيال وإلحاق الضرر بأجهزة الكمبيوتر المحمية والابتزاز. ولا يزال خوروشيف طليقًا على الرغم من المكافأة بملايين الدولارات، وقد نفى LockBitSupp أن تكون هذه هي هويتهم الحقيقية.
في وقت لاحق من العام، قامت NCA بتسمية وفضح شركة تابعة رفيعة المستوى لشركة LockBit، ألكسندر ريزينكوف، المعروف أيضًا باسم بيفرلي. الذي كان أيضًا لاعبًا رئيسيًا في عملية Evil Corp وكان بمثابة تابع لزعيمها مكسيم ياكوبيتس.
على الرغم من النجاح الواضح الذي حققته عملية كرونوس، فقد أظهر التاريخ الحديث أنه حتى عندما تكون عمليات إنفاذ القانون فعالة في تعطيل أنشطتهم، فإن مجرمي الإنترنت يتمتعون بمرونة ملحوظة وغالبًا ما يكونون قادرين على التصدي لعملياتهم مرة أخرى بسهولة نسبية.
على الرغم من أنه ليس من الممكن حاليًا التأكد مما يخطط له بالفعل الشخص الذي يقف وراء إعلان LockBit، إلا أنه يجب على المدافعين أن يكونوا في حالة تأهب لاحتمال وقوع هجوم في الأسابيع المقبلة، واتخاذ التدابير المناسبة لمكافحة برامج الفدية حيثما أمكن ذلك.
