الأفراد الذين يقفون وراء الإصدار الجديد من برنامج الفدية LockBit ووسعت استهدافها بشكل كبير خلال شهر سبتمبر، وسط ارتفاع أوسع في هجمات برامج الفدية، والتي ارتفعت بأكثر من الربع مقارنة بشهر أغسطس، وفقًا لبيانات صناعة الأمن.
مجموعة إن سي سي الأحدث شهريا نبض التهديد تقرير يكشف أن حجم الهجمات ارتفع للمرة الأولى منذ ستة أشهر، بنسبة 28% إلى 421 حادثة تمت ملاحظتها والإبلاغ عنها، وعلى الرغم من أن هذا ليس أعلى مستوى على الإطلاق، إلا أن فريق التهديدات بالشركة قال إنه قد يشير إلى تصعيد متجدد مع اقتراب موسم الأعياد.
وقال مات هال، رئيس استخبارات التهديدات في NCC: “إن ارتفاع الهجمات في سبتمبر قد يكون علامة على أن الانخفاض الذي شهدناه مؤخرًا قد انتهى الآن”.
“بينما نقترب من الموسم المزدحم بالمهاجمين – مع اقتراب الجمعة السوداء وعيد الميلاد – لا يمكن للمؤسسات أن تشعر بالرضا عن النفس. وقد أظهرت الهجمات الأخيرة على قطاع النقل والتجزئة، على وجه التحديد، مدى خطورة الاضطراب.
وقال: “تحتاج المؤسسات إلى التأكد من أن لديها إدارة قوية لمخاطر الطرف الثالث، والاستجابة السريعة للحوادث، واستراتيجيات أمنية استباقية”.
ولكن بينما يقول تقرير NCC إن عمليات Qilin وAkira وINC Ransom هي التي تهيمن حاليًا على المشهد، تكشف معلومات استخباراتية من Check Point أن مشغلي LockBit عمومًا يهاجمون المؤسسات في جميع أنحاء الأمريكتين وآسيا وأوروبا باستخدام متغير LockBit 5.0 Chuongdong، وقد أوقعوا ما لا يقل عن اثنتي عشرة ضحية في سبتمبر.
كان LockBit، الذي كان في السابق أكثر برامج الفدية كخدمة (RaaS) المهيمنة في مجموعات بيانات NCC، قد تم إخفاؤه من قبل وكالة الجريمة الوطنية في المملكة المتحدة في عملية منسقة متعددة الجنسيات أطلق عليها اسم LockBit. عملية كرونوس، والتي تم الكشف عنها منذ ما يزيد قليلاً عن 18 شهرًا في فبراير 2024. وكانت العصابة مسؤولة عن ما يصل إلى ثلث جميع منشورات ضحايا موقع تسرب البيانات في ذلك الوقت.
ومع ذلك، على الرغم من الإزالة الفعالة للغاية، والتي تسببت في اضطراب كبير في عالم الجريمة السيبرانية السري، فإن مدير LockBit، LockBitSupp – تم تسميته علنًا باسم المواطن الروسي ديمتري خوروشيف – واصل استهزاء ملاحديه، وفي أغسطس/آب، استخدم منتدى RAMP للإعلان عن عودة المجموعة إلى العمل.
وفقًا لفريق المعلومات في Check Point، لم يكتسب LockBitSupp قوة جذب متجددة على RAMP فحسب، بل كان يحاول أيضًا إصلاح سمعته المدمرة من خلال محاولة إعادته إلى منتدى XSS المنافس، والذي تم حظره منه. فشلت هذه المحاولة، وهو ما قالت شركة Check Point إنه قد يعكس الحذر المتزايد لدى سكانها بشأن نطاق اختراق تطبيق القانون في عالمهم.
وفقًا لـ Check Point، يقدم LockBit 5.0 أربعة تحديثات أساسية لتعزيز كفاءة الخزانة وأمانها وإخفاءها. وهو يتميز الآن بدعم متعدد المنصات مع تصميمات تستهدف أنظمة Windows وLinux وESXi، وميزات محسنة لمكافحة التحليل لجعل مهام المحققين أكثر صعوبة، وتشفير أسرع، وامتدادات ملفات عشوائية مكونة من 16 حرفًا لتجنب الكشف.
وفي الوقت نفسه، توفر لوحة التحكم التابعة لها لمستخدمي RaaS واجهة إدارة محسنة، ويتطلب الانضمام إلى البرنامج الشريك أيضًا دفعة مقدمة بقيمة 500 دولار (375 جنيهًا إسترلينيًا) بعملة البيتكوين.
وقال فريق Check Point: “إن عودة ظهور LockBit تؤكد مرونة المجموعة وتطورها”. “على الرغم من إجراءات إنفاذ القانون البارزة والانتكاسات العامة، تمكنت المجموعة مرة أخرى من استعادة عملياتها، وتجنيد المنتسبين إليها، واستئناف الابتزاز.
“بفضل نموذج RaaS الناضج، والوصول عبر الأنظمة الأساسية والسمعة المثبتة بين مجرمي الإنترنت، تمثل عودة LockBit تهديدًا متجددًا للمؤسسات في جميع القطاعات. ومن المحتمل أن تمثل موجة الإصابات في سبتمبر مجرد بداية لحملة أكبر – وقد تؤكد منشورات أكتوبر التعافي التشغيلي الكامل للمجموعة.”
