تم التعرف على العقل المدبر المزعوم لبرنامج LockBit Ransomware
يقول بول فوستر، رئيس اللجنة الوطنية للجريمة التابعة للوكالة الوطنية لمكافحة الجريمة: “إذا كنت مجرمًا إلكترونيًا، وتعمل في هذه الأسواق أو المنتديات أو المنصات، فلا يمكنك التأكد من أن سلطات إنفاذ القانون ليست هناك لمراقبتك واتخاذ إجراءات ضدك”. وحدة الجرائم الإلكترونية.
صعود الملحق
ظهرت LockBit لأول مرة في عام 2019 كمنصة ناشئة لبرامج الفدية كخدمة (RaaS). وفي ظل هذا الإعداد، قامت مجموعة أساسية من الأفراد، تم تنظيمهم بواسطة مقبض LockBitSupp، بإنشاء برامج ضارة سهلة الاستخدام للمجموعة وأطلقوا موقع التسريب الخاص بها. تقوم هذه المجموعة بترخيص كود LockBit للقراصنة “التابعين” الذين شنوا هجمات وتفاوضوا على دفع الفدية، مما أدى في النهاية إلى تزويد LockBit بحوالي 20 بالمائة من أرباحهم.
وعلى الرغم من شن آلاف الهجمات، حاولت المجموعة في البداية الابتعاد عن الأضواء مقارنة بمجموعات برامج الفدية الأخرى. بمرور الوقت، عندما أصبحت LockBit أكثر شهرة وبدأت في السيطرة على النظام البيئي للجرائم الإلكترونية، أصبح أعضاؤها أكثر وقاحة وإهمالًا. يقول كبير محققي NCA إنهم سحبوا بيانات حول 194 شركة تابعة من أنظمة LockBit ويقومون بتجميع هوياتهم غير المتصلة بالإنترنت، ويقول المحقق إن 114 منهم فقط لم يكسبوا أي أموال. ويقولون: “كان هناك البعض غير أكفاء ولم ينفذوا الهجمات”.
ومع ذلك، في قلب كل ذلك كانت شخصية LockBitSupp. يقول محقق وكالة NCA إن هناك أمثلة “عديدة” لمسؤول LockBit “الذي يتحمل المسؤولية” بشكل مباشر عن المفاوضات رفيعة المستوى أو المفاوضات ذات الفدية العالية بعد أن هاجمت الشركات التابعة الشركات أو المنظمات في البداية.
أمضى جون ديماجيو، الباحث في شركة الأمن السيبراني Analyst1، سنوات في البحث عن LockBit والتواصل مع مقبض LockBitSupp. يقول ديماجيو: “لقد تعامل مع الأمر كعمل تجاري، وكثيرًا ما سعى للحصول على تعليقات من شركائه التابعين حول كيفية جعل العملية الإجرامية أكثر فعالية”. ويقول الباحث إن شخصية LockBitSupp ستسأل الشركات التابعة عما يحتاجون إليه ليكونوا قادرين على القيام بعملهم بشكل أكثر فعالية.
يقول ديماجيو: “لم يأخذ المال لنفسه فحسب، بل أعاد استثماره في تطوير عمليته وجعلها مرغوبة أكثر لدى المجرمين”. طوال دورة حياة مجموعة LockBit، حدث تحديثان وإصداران رئيسيان لبرامجها الضارة، وكان كل منهما أكثر قدرة وأسهل في الاستخدام من سابقه. يُظهر تحليل عملية إنفاذ القانون التي أجرتها شركة الأمن Trend Micro أنها كانت تعمل على إصدار جديد أيضًا.
يقول ديماجيو إن الشخص الذي كان يتحدث إليه على انفراد باستخدام لقب LockBitSupp كان “متعجرفًا” ولكنه “يعمل بجدية كبيرة” – بصرف النظر عن إرسال ملصقات القطط كجزء من الدردشات. يقول ديماجيو إنه علنًا، في منتديات الجرائم الإلكترونية باللغة الروسية حيث يتبادل المتسللون البيانات ويناقشون سياسات وأخبار القرصنة، كان LockBitSupp مختلفًا تمامًا.
“كانت الشخصية التي تضخمها في منتديات القرصنة الروسية عبارة عن مزيج من الشرير الخارق وتوني مونتانا من سكارفيسيقول ديماجيو. “لقد كان يتباهى بنجاحه وأمواله، وكان ذلك يزعج الناس في بعض الأحيان”.
بالإضافة إلى تحديد مكافأة مقابل الكشف عن هويتهم الخاصة، قام الجانب الأكثر ابتكارًا وغرابة في LockBitSupp أيضًا بتنظيم مسابقة لكتابة المقالات في منتديات القرصنة، وعرض “مكافأة اكتشاف الأخطاء” إذا اكتشف الأشخاص عيوبًا في كود LockBit، وقالوا إنهم سيدفعون 1000 دولار لأي شخص الذي حصل على شعار LockBit كوشم. حوالي 20 شخصا نشر صور ومقاطع فيديو للوشم الخاص بهم.