اليوم ، تعد LockBit ransomware أكثر منظمة الجريمة الإلكترونية نشاطًا ونجاحًا في العالم. المنسوبة إلى ممثل تهديد روسي ، خرج LockBit من ظلال مجموعة Conti ransomware ، التي تم حلها في أوائل عام 2022.
تم اكتشاف LockBit ransomware لأول مرة في سبتمبر 2019 وكان يُعرف سابقًا باسم ABCD ransomware بسبب امتداد ".abcd virus" الذي لوحظ لأول مرة. يعمل LockBit كنموذج Ransomware-as-a-service (RaaS). باختصار ، هذا يعني أن الشركات التابعة تقوم بإيداع لاستخدام الأداة ، ثم تقوم بتقسيم دفع الفدية مع مجموعة LockBit. تم الإبلاغ عن حصول بعض الشركات التابعة على حصة تصل إلى 75 ٪. نشر مشغلو LockBit إعلانات لبرنامجهم التابع على المنتديات الجنائية باللغة الروسية تفيد بأنهم لن يعملوا في روسيا أو أي من بلدان رابطة الدول المستقلة ، ولن يعملوا مع المطورين الناطقين باللغة الإنجليزية ما لم يضمن لهم "الضامن" الناطق بالروسية.
تتضمن نواقل الهجوم الأولية لـ LockBit الهندسة الاجتماعية ، مثل التصيد الاحتيالي ، والتصيد بالرمح ، واختراق البريد الإلكتروني للأعمال (BEC) ، واستغلال التطبيقات المواجهة للجمهور ، وتوظيف وسطاء الوصول الأوليين "(IABs) ، واستخدام بيانات الاعتماد المسروقة للوصول إلى الحسابات الصالحة ، مثل بروتوكول سطح المكتب البعيد (RDP) ، بالإضافة إلى هجمات تكسير القوة الغاشمة.
خلال ندوة الويب الخاصة بتوقعات التهديدات العالمية العام الماضي ، والتي استضافتها SecurityHQ ، حددنا LockBit باعتباره تهديدًا كبيرًا وسلطنا الضوء عليه باعتباره فاعل تهديد يجب الانتباه إليه عن كثب خلال عام 2022.
أهداف LockBitركزت LockBit عادةً على الهجمات على الكيانات والمؤسسات الحكومية في مجموعة متنوعة من القطاعات ، مثل الرعاية الصحية والخدمات المالية والسلع والخدمات الصناعية. وقد لوحظ أن برامج الفدية تستهدف دولًا على مستوى العالم ، بما في ذلك الولايات المتحدة والصين والهند وإندونيسيا وأوكرانيا وفرنسا والمملكة المتحدة وألمانيا.
ميزة أخرى مثيرة للاهتمام لـ LockBit هي أنه مبرمج بطريقة لا يمكن استخدامها في الهجمات ضد روسيا أو دول رابطة الدول المستقلة (كومنولث الدول المستقلة). من المحتمل أن يكون هذا تدبيرًا احترازيًا اتخذته المجموعة لتجنب أي رد فعل عنيف محتمل من الحكومة الروسية.
توضح الخريطة أدناه المواقع المستهدفة بواسطة LockBit.
عام مزدحم لـ LockBit
من خلال تحليل بيانات موقع التسريب ، تمكنا من الحصول على صورة حقيقية لعدد الهجمات الناجحة التي قام بها LockBit. في عام 2022 ، نشرت المجموعة هجمات أكثر نجاحًا من أي مجموعة برامج فدية أخرى. لقد قمنا بتعيين نشاط LockBit على مدار العام ضد مجموعات برامج الفدية الأخرى المعروفة. يمكنك أن ترى تراجع كونتي حيث بدأت المجموعة في إغلاق العمليات. تم الإبلاغ الآن عن أن أعضاء مجموعة Conti ransomware الغزيرة الإنتاج يعملون الآن ضمن مجموعات BlackBasta و BlackByte و Karakurt ransomware.
ـ LockBit هي برنامج bug bounty لمنشئي برامج الفدية ومجمعي برامج الفدية. تقدم المجموعة مكافأة قدرها مليون دولار لمن يستطيع الكشف عن هويات أصحابها. هذا مبلغ كبير ، ويظهر مدى جدية LockBit في الحفاظ على سرية هويته.
في الآونة الأخيرة ، تم ربط المجموعة بهجوم على Royal Mail في المملكة المتحدة. ومع ذلك ، نفى LockBit أي تورط له في الهجوم ، مشيرًا إلى أنه تم تنفيذه من قبل شركة تابعة. هذا ليس نادرًا بالنسبة لمجموعات برامج الفدية ، حيث يستخدمون غالبًا الشركات التابعة لتنفيذ هجمات لإبعاد أنفسهم عن العواقب.
بشكل عام ، تعد مجموعة LockBit ransomware منظمة هائلة ومتطورة للجرائم الإلكترونية التي تشكل تهديدًا كبيرًا للشركات والمؤسسات في جميع أنحاء العالم. من خلال نموذج راسخ لبرامج الفدية كخدمة ، وبرنامج مكافأة الأخطاء ، والاستعداد لمكافأة أولئك الذين يكشفون عن هوياتهم ، يعد LockBit قوة لا يستهان بها في مشهد التهديد.
ما هو RaaS؟
ما العمل التالي
لتعزيز وضعك الأمني ، يوصى بأن تقوم الشركات بالخطوات التالية:
- ضمان استخدام الاكتشاف والاستجابة المُدارين ( MDR ) لفهم الأنشطة الضارة أو الشاذة ، وتحليل التهديدات وتحديد أولوياتها والاستجابة لها في وقت سريع ، وحماية بياناتك وأفرادك وعملياتك.
- تأكد من تدريب الموظفين وتثقيفهم بشأن أحدث تهديدات الأمن السيبراني ، حتى يعرفوا كيفية اكتشاف الهجوم ، والرد عليه بالطريقة الصحيحة.
للاستماع إلى خبراء الأمن في المقر الرئيسي يناقشون بعضًا من أعظم التهديدات التي تمت ملاحظتها خلال عام 2022 ، ومناقشة عواقب الاختراق ، مع التنبؤات لعام 2023 ، وكيفية التخفيف من تهديدات الأمن السيبراني القادمة ، قم بتنزيل هذا البرنامج التعليمي عبر الإنترنت الذي يحمل عنوان "توقعات مشهد التهديد العالمي لعام 2023" ، إلى تعرف أكثر.