תוכנת הכופרה (ransomware) לוקביט פעילה מאוד בישראל, ולמעשה נחשבת היום לכופרה הפעילה ביותר בעולם. LockBit החלה את דרכה בשנת 2019, ומאז הפכה לכלי פופולרי ביותר בקרב האקרים. הקבוצה שיצרה את לוקביט מציעה אותה כ-RaaS, כלומר – Ransomware as a Service, בשיטה של שיווק שותפים – הלקוחות משתמשים בתוכנות הזדוניות שהקבוצה מפתחת במסגרת התקיפה, וחולקים את הרווחים עם קבוצת פושעי הסייבר.
לוקביט עודכנה ושודרגה מספר פעמים במהלך השנים, והגירסה הנפוצה והעדכנית ביותר כיום היא LockBit 3.0, הנקראת גם לוקביט בלאק. גירסה זו הופיעה בשנת 2022, והיא כוללת טכנולוגיה של התחמקות משירותי אבטחה ותוכנית Bug Bounty.
קוד המקור של לוקביט פורסם בספטמבר 2022 ברשת החברתית X. באמצעות הקבצים שפורסמו אפשר לייצר את הכופרה המקומית, על ידי מפתח פומבי ומפתח פרטי. בעקבות הפרסום, צצו זני כופרה רבים חדשים, שהתבססו על קוד המקור של לוקביט.
על פי דו"ח מערך הסייבר, בחודשים האחרונים זוהו בישראל תקיפות רבות שעשו שימוש בלוקביט, כאשר גירסה 3.0 היא הפופולרית ביותר. המערך זיהה אשכולות פעילות שונים בעקבות התקיפות האלה, כמו למשל ביצוע התחברות באמצעות TeamViewer באמצעות פרטי גישה מודלפים או כאלה שנגנבו באמצעות info-stealer. ה-Windows defender הושבת כחלק מהמתקפה, כמו גם תהליכים נוספים הקשורים לאבטחת מידע.
סוג אחר של אשכול פעילות כולל ביצוע מתקפות כופרה על ידי לוקביט 3.0, מטעמו של גורם שנקרא CriptomanGizmo. התקיפה מתבצעת בעיקר נגד מחשבים פרטיים ועסקים קטנים. במערך הסייבר מעריכים כי ציר החדירה בתקיפות אלה מתבסס, בין השאר, על חיבורי RDP לא מאובטחים (פרטי גישה שדלפו, סיסמאות חלשות או שרתי RDP שמחוברים לרשת חיצונית ומאפשרים התחברות מרחוק).
אשכול פעילות נוסף נקרא Tina Turner. בפעילות זו, התוקף שולח להדפסה המונית את מכתב הכופר ומפעיל כל מכשיר הדפסה הקיים ברשת אליה פרץ. באשכול זה, בחירת היעדים אופורטוניסטית, מכוונת לכלל המגזרים, אולם ממוקדת בעסקים קטנים במגזר הבריאות, החקלאות, המזון והותקפו גם משרדי עורכי דין ומשרד רואי חשבון.
השימוש בזן LockBit 3.0 נעשה לרוב ללא שינוי משמעותי בפונקציונליות של הכופרה עצמה, מלבד שימוש בטקטיקות שונות כמו הדפסת מכתבי כופר בחלק מהמקרים ושימוש במזהים עצמאיים.
המלצות להתגוננות בפני כופרת LockBit 3.0
השימוש הנפוץ בלוקביט מדגיש שוב את חשיבות אבטחת המידע לעסקים קטנים, ועסקים בכלל. הנה כמה טיפים לשיפור הגנת הסייבר בעסק שלכם:
- מומלץ להשתמש בסיסמאות חזקות, מורכבות, המכילות גם תווים מיוחדים.
- יש להטמיע אימות רב-שלבי (MFA) שמצריך זיהוי נוסף לפני חיבור למערכת, למשל קוד שנשלח ל-SMS או שימוש בתוכנה כמו Authenticator של גוגל.
- יש להקפיד על עדכוני תוכנה בזמן כדי למנוע ניצול חולשות.
- יש למנוע חשיפת חיבורים חיצוניים לאינטרנט ולנטר שימוש לא מוכר בחיבורים חיצוניים.
- מומלץ להשתמש ברשימה שחורה/לבנה כדי להגדיר רשימת משתמשים מורשים מראש (white list) ולהגביל חיבורים אחרים (black list).
