ظهرت LockBit في نهاية عام 2019 ، وأطلقت على نفسها في البداية اسم “ABCD ransomware”. منذ ذلك الحين ، نمت بسرعة. المجموعة عبارة عن عملية “رانسوم وير كخدمة” ، مما يعني أن فريقًا أساسيًا ينشئ برامجه الخبيثة ويدير موقعه على الويب أثناء ترخيص الكود الخاص به إلى “الشركات التابعة” التي تشن الهجمات.
عادةً ، عندما تهاجم مجموعات برامج الفدية كخدمة شركة بنجاح وتتقاضى رواتبها ، فإنها ستشارك جزءًا من الأرباح مع الشركات التابعة. في حالة LockBit ، يقول جيروم سيجورا ، كبير مديري استخبارات التهديدات في Malwarebytes ، إن النموذج التابع انقلب رأساً على عقب. يقوم المنتسبون بتحصيل المدفوعات من ضحاياهم مباشرة ثم دفع رسوم لفريق LockBit الأساسي. يبدو أن الهيكل يعمل بشكل جيد ويمكن الاعتماد عليه لـ LockBit. يقول Segura: “لقد تم تسويتها بشكل جيد في نموذج الشركة التابعة”.
على الرغم من أن الباحثين قد رأوا مرارًا وتكرارًا مجرمي الإنترنت من جميع الأنواع يقومون باحتراف وتبسيط عملياتهم على مدار العقد الماضي ، إلا أن العديد من مجموعات برامج الفدية البارزة والفاخرة تتبنى شخصيات عامة ملتهبة وغير متوقعة لكسب الشهرة وتخويف الضحايا. في المقابل ، تشتهر LockBit بأنها متسقة نسبيًا ومركزة ومنظمة.
يقول بريت كالو ، محلل التهديدات في شركة مكافحة الفيروسات Emsisoft: “من بين كل المجموعات ، أعتقد أنها كانت على الأرجح الأكثر نشاطًا في العمل ، وهذا جزء من سبب طول عمرها”. لكن حقيقة أنهم ينشرون الكثير من الضحايا على موقعهم لا يعني بالضرورة أنهم أكثر مجموعات برامج الفدية انتشارًا على الإطلاق ، كما يدعي البعض. ربما يكونون سعداء جدًا لوصفهم بهذه الطريقة. هذا جيد فقط لتجنيد منتسبين جدد “.
المجموعة بالتأكيد ليست كلها ضجيجًا. يبدو أن LockBit تستثمر في كل من الابتكارات التقنية واللوجستية في محاولة لزيادة الأرباح. يقول بيتر ماكينزي ، مدير الاستجابة للحوادث في شركة الأمن سوفوس ، على سبيل المثال ، إن المجموعة جربت أساليب جديدة للضغط على ضحاياها لدفع الفدية.
يقول ماكنزي: “لديهم طرق مختلفة للدفع”. يقول ماكنزي: “يمكنك الدفع مقابل حذف بياناتك ، والدفع مقابل إصدارها مبكرًا ، والدفع لتمديد الموعد النهائي” ، مضيفًا أن LockBit فتحت خيارات الدفع لأي شخص. قد يؤدي هذا ، من الناحية النظرية على الأقل ، إلى قيام شركة منافسة بشراء بيانات ضحية فيروسات الفدية. يقول ماكنزي: “من وجهة نظر الضحية ، هناك ضغط إضافي عليهم ، وهو ما يساعد الناس على الدفع”.
منذ ظهور LockBit لأول مرة ، قضى منشئوه وقتًا وجهدًا كبيرًا في تطوير برمجياته الضارة. أصدرت المجموعة تحديثين كبيرين للرمز – LockBit 2.0 ، الذي تم إصداره في منتصف عام 2021 ، و LockBit 3.0 ، الذي تم إصداره في يونيو 2022. يُعرف الإصداران أيضًا باسم LockBit Red و LockBit Black ، على التوالي. يقول الباحثون إن التطور التقني قد تزامن مع التغييرات في كيفية عمل LockBit مع الشركات التابعة. قبل إصدار LockBit Black ، عملت المجموعة مع مجموعة حصرية من 25 إلى 50 شركة تابعة على الأكثر. منذ الإصدار 3.0 ، على الرغم من ذلك ، فتحت العصابة بشكل كبير ، مما جعل من الصعب مراقبة عدد الشركات التابعة المشاركة وجعل من الصعب أيضًا على LockBit ممارسة السيطرة على المجموعة.
