LockBit هو برنامج فدية نشط كخدمة(RaaS، منظمة Ransomware-as-a-Service)، ظهر لأول مرة في سبتمبر 2019، بسبب أن النسخة الأولية كانت تضيف لاحقة “.abcd” عند تشفير الملفات، كانت تعرف سابقًا باسم “برمجيات الفدية ABCD”. تشتهر هذه المجموعة بتقنيتها الناضجة، وارتفاع مستوى الأتمتة، وكفاءة الابتزاز العالية، وقد شنت هجمات عديدة على مستوى العالم تستهدف الشركات، والحكومات، والمؤسسات التعليمية، والمرافق الطبية، وقد تم تصنيفها من قبل العديد من وكالات الأمن القومي كتهديد مستمر متقدم(APT). لقد كشفنا عن هذه المنظمة في العام الماضي.
!
تتطور تقنية LockBit بشكل مستمر، وقد تطورت إلى عدة إصدارات:
LockBit 1.0 (2019): يتميز بلاحقة التشفير ".abcd" ، ويدعم نظام Windows الأساسي ، ويستخدم تشفير خوارزمية RSA + AES ، وسرعة التنفيذ السريع ؛
LockBit 2.0 (2021): إدخال قدرة الانتشار الآلي لزيادة كفاءة الفدية؛
LockBit 3.0 / LockBit Black (2022): تصميم معياري، يتمتع بقدرة قوية على مقاومة التحليل، كما أنه قدم لأول مرة برنامج مكافأة الثغرات، حيث يقدم مكافآت للباحثين الأمنيين الخارجيين لاختبار برامج الفدية؛
LockBit Green (النسخة المزعومة لعام 2023): يُشتبه في أنه تم دمج جزء من كود مجموعة قراصنة Conti التي تم حلها.
كنموذج نمطي لـ RaaS، تقوم LockBit من خلال المطورين الرئيسيين بتقديم حزمة أدوات برامج الفدية، بجذب "加盟者(Affiliates)" المسؤولين عن الهجمات المحددة، الاختراق والنشر، وتحفيز التعاون من خلال توزيع الفدية، حيث يمكن للمهاجمين الحصول على 70% من العائدات. بالإضافة إلى ذلك، فإن استراتيجيتها "الابتزاز المزدوج" تتميز بضغط كبير: من جهة تشفير الملفات، ومن جهة أخرى سرقة البيانات وتهديد نشرها، وإذا رفض الضحايا دفع الفدية، سيتم نشر البيانات على موقع التسريب الخاص بهم.
من الناحية التقنية، يدعم LockBit أنظمة Windows و Linux، ويستخدم تقنية التشفير متعددة الخيوط ومجموعة تعليمات AES-NI لتحقيق تشفير عالي الأداء، ويتميز بقدرة الحركة الأفقية داخل الشبكة (مثل استخدام PSExec، وكسر RDP، وما إلى ذلك)، كما سيقوم بإغلاق قواعد البيانات وحذف النسخ الاحتياطية وغيرها من الخدمات الحيوية قبل التشفير.
عادة ما تكون هجمات LockBit منظمة للغاية، وتمتلك خصائص APT نموذجية. سلسلة الهجوم بأكملها تقريبًا كما يلي:
الوصول الأولي (رسائل صيد، استغلال الثغرات، كلمات مرور ضعيفة لـ RDP)
التحرك الأفقي (Mimikatz، Cobalt Strike، إلخ)
رفع الأذونات
سرقة البيانات
تشفير الملفات
رسالة الفدية المنبثقة
نشر المعلومات إلى مواقع التسريب (إذا لم يتم الدفع)
خلال فترة نشاط LockBit، حدثت عدة حوادث مثيرة.
هجوم على هيئة الضرائب الإيطالية عام 2022، أثر على بيانات ملايين دافعي الضرائب؛
زعم أنه اخترق مستشفى SickKids الكندي، ثم اعتذر وقدم أداة فك التشفير؛
تعرض العديد من الشركات المصنعة (مثل شركات الدفاع والأجهزة الطبية) لتشفير LockBit؛
في الربع الثاني من عام 2022 ، شكلت أكثر من 40% من هجمات الفدية العالمية؛
أثرت على أكثر من 1000 شركة، متجاوزةً بكثير مجموعات مثل Conti وREvil.
معدل نجاح الابتزاز مرتفع للغاية، حيث تم الحصول على أكثر من نصف فدية 100 مليون دولار التي تم تقديمها في عام 2022.
ومع ذلك، حتى لو كانت LockBit قوية، إلا أنها ليست بلا ثغرات. في 19 فبراير 2024، تم إغلاق موقع LockBit في عملية إنفاذ القانون المشتركة مع الوكالة الوطنية للجريمة في المملكة المتحدة، ومكتب التحقيقات الفيدرالي الأمريكي، ومنظمة الشرطة الأوروبية، والتحالف الدولي للشرطة، وتم القبض على العديد من أعضاء LockBit أو تم إصدار مذكرات بحث بحقهم، لكن الفريق الأساسي للمطورين لم يتم القضاء عليه بالكامل، ولا تزال بعض العينات تتداول في الشبكة المظلمة، وتستمر الجماعات الفرعية في استخدامها.
حدث طارئ: تم اختراق موقع LockBit
اليوم، تلقت SlowMist(慢雾) معلومات تفيد بأن موقع LockBit على شبكة onion قد تم اختراقه، حيث قام المهاجمون بالاستيلاء على لوحة التحكم الخاصة به ونشروا ملفاً مضغوطاً يحتوي على قاعدة بيانات، مما أدى إلى تسرب قاعدة بيانات LockBit، بما في ذلك عناوين البيتكوين، المفاتيح الخاصة، سجلات الدردشة، ومعلومات حساسة أخرى تتعلق بالشركات المرتبطة.
LockBitSupp: تم اختراق لوحة التحكم الخفيفة التي تحتوي على رمز تفويض فقط، ولم يتم سرقة أي أداة لفك التشفير، كما لم تتضرر بيانات الشركة.
ري: نعم، ولكن هذا يعني أن عنوان البيتكوين، محتوى المحادثة والمفاتيح قد تم تسريبها... وهذا سيؤثر على السمعة، أليس كذلك؟
راي: هل تم سرقة Locker Builder (باني الفدية) أو الشيفرة المصدرية؟
راي: هل ستعود إلى الإنترنت؟ إذا كان الأمر كذلك ، فكم من الوقت سيستغرق؟
LockBitSupp: فقط تم سرقة عنوان بيتكوين ومحتوى المحادثة، ولم يتم سرقة أداة فك التشفير. نعم، هذا يؤثر بالفعل على السمعة، ولكن إعادة الإطلاق بعد الإصلاح ستؤثر أيضًا على السمعة. لم يتم سرقة الكود المصدري. نحن نعمل بالفعل على استعادة الأمور.
ري: حسناً، أتمنى لكم التوفيق. شكراً لإجابتك.
) تحليل التسرب
سلطت SlowMist### الضوء على تنزيل الملفات المسربة ذات الصلة في أول لحظة (للاستخدام الداخلي فقط، وتم حذف النسخ الاحتياطية في الوقت المناسب). قمنا بإجراء تحليل أولي لهياكل الدليل وملفات الشيفرة ومحتويات قاعدة البيانات، في محاولة لاستعادة بنية منصة LockBit الداخلية ومكوناتها الوظيفية.
!
من حيث هيكل الدليل، يبدو أن هذا يشبه منصة إدارة ضحايا LockBit المكتوبة بإطار عمل PHP خفيف الوزن.
تحليل بنية الدليل:
api/، ajax/، services/، models/، workers/ تظهر المشاريع أنها تحتوي على درجة معينة من التوحيد، لكنها لا تتوافق مع الهيكل المتعارف عليه في إطار عمل مثل Laravel (مثل app/Http/Controllers)؛
DB.php، prodDB.php، autoload.php، functions.php تشير إلى أن إدارة قاعدة البيانات والدوال تتم يدويًا؛
vendor/ + composer.json استخدم Composer، مما يعني أنه قد تم إدخال مكتبات طرف ثالث، لكن الإطار بأكمله قد يكون مكتوبًا بنفسه؛
أسماء المجلدات مثل victim/ و notifications-host/ تبدو مشبوهة نوعًا ما (خاصة في أبحاث الأمان).
لذا نفترض أن هذا المتسلل الذي جاء من "براغ" يجب أن يكون قد استخدم PHP 0 يوم أو 1 يوم لإنهاء موقع الويب ووحدة التحكم.
لوحة التحكم كما يلي:
!
جزء من معلومات التواصل في الدردشة:
!
لننظر إلى المعلومات المظللة بالإطار الأحمر: هل قام الضحية CEO بالدفع لمطالب الفدية من co ... coinbase؟
في الوقت نفسه، تتعلق قاعدة البيانات المسربة بحوالي 60,000 عنوان BTC:
!
تم تسريب كلمات مرور حسابات 75 مستخدمًا في قاعدة البيانات.
!
!
محادثة مثيرة للاهتمام حول المساومة:
!
ابحث عشوائيًا عن الطلبات الناجحة للدفع:
!
عنوان الطلب:
!
تتبع عنوان استلام البيتكوين باستخدام MistTrack:
!
تتجه تدفقات الأموال المغسولة بشكل واضح، وتدخل في النهاية إلى منصة التداول. نظرًا لقيود المساحة، ستقوم MistTrack بمزيد من التحليل على عناوين العملات المشفرة لاحقًا، إذا كنت مهتمًا يمكنك متابعة X: @MistTrack_io.
حاليًا، أصدرت LockBit الرسمية بيانًا جديدًا بشأن هذا الحدث. الترجمة تقريبًا كما يلي:
!
"في 7 مايو 2025، تم اختراق لوحة التحكم الخفيفة لدينا المزودة بوظيفة التسجيل التلقائي، حيث يمكن لأي شخص تجاوز التفويض والوصول مباشرة إلى اللوحة. تم سرقة قاعدة البيانات، ولكن لم يتم المساس بالمفككات أو البيانات الحساسة للشركة المتضررة. نحن نحقق حاليًا في طريقة الاختراق المحددة ونبدأ عملية إعادة البناء. تظل لوحة التحكم والمدونة تعمل بشكل طبيعي."
"يُزعم أن المهاجم هو شخص يُدعى 'xoxo' من براغ. إذا كنت تستطيع تقديم معلومات دقيقة حول هويته - طالما أن الرسالة موثوقة، فأنا على استعداد لدفع المال مقابلها."
تأتي هذه الردود من LockBit بشكل ساخر. في وقت سابق، أصدرت وزارة الخارجية الأمريكية إشعار مكافأة للحصول على معلومات عن هوية وموقع الأعضاء الرئيسيين أو المتعاونين الرئيسيين في مجموعة LockBit، مع مكافأة تصل إلى 10 ملايين دولار. في الوقت نفسه، لتشجيع الكشف عن هجمات الأعضاء(Affiliates)، تم تقديم مكافأة إضافية تصل إلى 5 ملايين دولار.
اليوم، تم اختراق LockBit، حيث بدأوا في عرض مكافآت للبحث عن أدلة عن المهاجمين في قناتهم - كما لو أن "آلية صائد الجوائز" قد انقلبت ضدهم، مما يثير الضحك والبكاء، ويكشف أيضًا عن الثغرات والفوضى في نظام الأمان الداخلي لديهم.
( ملخص
LockBit نشط منذ عام 2019، وهو واحد من أخطر عصابات برامج الفدية في العالم، حيث تقدر الفدية المجمعة (بما في ذلك البيانات غير المعلنة) بما لا يقل عن 150 مليون دولار. نموذج RaaS (برامج الفدية كخدمة) الخاص بهم يجذب عددًا كبيرًا من الأعضاء للمشاركة في الهجمات. على الرغم من أن العصابة واجهت ضغوطًا قانونية بسبب "عملية كرونوس" في أوائل عام 2024، إلا أنها لا تزال نشطة. تشير هذه الحادثة إلى أن أمان النظام الداخلي لـ LockBit قد واجه تحديات كبيرة، مما قد يؤثر على سمعتها وثقة أعضائها واستقرار عملياتها. في الوقت نفسه، تُظهر أيضًا اتجاه "الهجمات العكسية" ضد منظمات الجريمة الإلكترونية في الفضاء السيبراني.
فريق أمان مان وو ينصح الأطراف المعنية:
مراقبة المعلومات المستمرة: متابعة دقيقة لعمليات إعادة بناء LockBit والإصدارات المحتملة المتغيرة؛
متابعة اتجاهات الشبكة المظلمة: رصد منتديات ومواقع ومصادر معلومات ذات صلة في الوقت الفعلي، لمنع التسريبات الثانية وإساءة استخدام البيانات؛
تعزيز دفاعات تهديد RaaS: تنظيم السطح المعرض للخطر وتعزيز آليات التعرف على أدوات RaaS وقطعها؛
تحسين آلية الاستجابة للمنظمة: إذا تم اكتشاف وجود علاقة مباشرة أو غير مباشرة مع المنظمة، يُنصح بالإبلاغ عن ذلك على الفور للجهة المختصة وبدء خطة الطوارئ؛
تتبع الأموال والتعاون مع مكافحة الاحتيال: إذا تم اكتشاف مسارات دفع مشبوهة تتدفق إلى منصتنا، يجب دمجها مع نظام المراقبة على السلسلة لتعزيز تدابير مكافحة غسيل الأموال.
تذكرنا هذه الحادثة مرة أخرى أنه حتى المنظمات القرصنة القوية تقنيًا لا يمكنها أن تكون محصنة تمامًا ضد الهجمات السيبرانية. وهذه أيضًا واحدة من الأسباب التي تجعل المتخصصين في الأمن يستمرون في الكفاح.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
السرقة المتبادلة: تحليل حادثة الاختراق لأشهر عصابة فدية عالمية LockBit
مراجعة سابقة: من هو LockBit؟
LockBit هو برنامج فدية نشط كخدمة(RaaS، منظمة Ransomware-as-a-Service)، ظهر لأول مرة في سبتمبر 2019، بسبب أن النسخة الأولية كانت تضيف لاحقة “.abcd” عند تشفير الملفات، كانت تعرف سابقًا باسم “برمجيات الفدية ABCD”. تشتهر هذه المجموعة بتقنيتها الناضجة، وارتفاع مستوى الأتمتة، وكفاءة الابتزاز العالية، وقد شنت هجمات عديدة على مستوى العالم تستهدف الشركات، والحكومات، والمؤسسات التعليمية، والمرافق الطبية، وقد تم تصنيفها من قبل العديد من وكالات الأمن القومي كتهديد مستمر متقدم(APT). لقد كشفنا عن هذه المنظمة في العام الماضي.
!
تتطور تقنية LockBit بشكل مستمر، وقد تطورت إلى عدة إصدارات:
كنموذج نمطي لـ RaaS، تقوم LockBit من خلال المطورين الرئيسيين بتقديم حزمة أدوات برامج الفدية، بجذب "加盟者(Affiliates)" المسؤولين عن الهجمات المحددة، الاختراق والنشر، وتحفيز التعاون من خلال توزيع الفدية، حيث يمكن للمهاجمين الحصول على 70% من العائدات. بالإضافة إلى ذلك، فإن استراتيجيتها "الابتزاز المزدوج" تتميز بضغط كبير: من جهة تشفير الملفات، ومن جهة أخرى سرقة البيانات وتهديد نشرها، وإذا رفض الضحايا دفع الفدية، سيتم نشر البيانات على موقع التسريب الخاص بهم.
من الناحية التقنية، يدعم LockBit أنظمة Windows و Linux، ويستخدم تقنية التشفير متعددة الخيوط ومجموعة تعليمات AES-NI لتحقيق تشفير عالي الأداء، ويتميز بقدرة الحركة الأفقية داخل الشبكة (مثل استخدام PSExec، وكسر RDP، وما إلى ذلك)، كما سيقوم بإغلاق قواعد البيانات وحذف النسخ الاحتياطية وغيرها من الخدمات الحيوية قبل التشفير.
عادة ما تكون هجمات LockBit منظمة للغاية، وتمتلك خصائص APT نموذجية. سلسلة الهجوم بأكملها تقريبًا كما يلي:
خلال فترة نشاط LockBit، حدثت عدة حوادث مثيرة.
ومع ذلك، حتى لو كانت LockBit قوية، إلا أنها ليست بلا ثغرات. في 19 فبراير 2024، تم إغلاق موقع LockBit في عملية إنفاذ القانون المشتركة مع الوكالة الوطنية للجريمة في المملكة المتحدة، ومكتب التحقيقات الفيدرالي الأمريكي، ومنظمة الشرطة الأوروبية، والتحالف الدولي للشرطة، وتم القبض على العديد من أعضاء LockBit أو تم إصدار مذكرات بحث بحقهم، لكن الفريق الأساسي للمطورين لم يتم القضاء عليه بالكامل، ولا تزال بعض العينات تتداول في الشبكة المظلمة، وتستمر الجماعات الفرعية في استخدامها.
حدث طارئ: تم اختراق موقع LockBit
اليوم، تلقت SlowMist(慢雾) معلومات تفيد بأن موقع LockBit على شبكة onion قد تم اختراقه، حيث قام المهاجمون بالاستيلاء على لوحة التحكم الخاصة به ونشروا ملفاً مضغوطاً يحتوي على قاعدة بيانات، مما أدى إلى تسرب قاعدة بيانات LockBit، بما في ذلك عناوين البيتكوين، المفاتيح الخاصة، سجلات الدردشة، ومعلومات حساسة أخرى تتعلق بالشركات المرتبطة.
! [](https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683019283746574839201
الأكثر دراماتيكية هو أن القراصنة تركوا عبارة ذات مغزى على الموقع المخترق: "لا تجرم، الجريمة سيئة، من براغ."
بعد فترة قصيرة، تم رفع البيانات ذات الصلة إلى منصات مثل GitHub وانتشرت بسرعة.
! [])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(
ردت LockBit رسميًا لاحقًا في قناتها باللغة الروسية، والمعنى العام كما يلي:
! [])https://img.gateio.im/social/moments-0e1ddd21116426070d0b50e217c2c51c(
) تحليل التسرب
سلطت SlowMist### الضوء على تنزيل الملفات المسربة ذات الصلة في أول لحظة (للاستخدام الداخلي فقط، وتم حذف النسخ الاحتياطية في الوقت المناسب). قمنا بإجراء تحليل أولي لهياكل الدليل وملفات الشيفرة ومحتويات قاعدة البيانات، في محاولة لاستعادة بنية منصة LockBit الداخلية ومكوناتها الوظيفية.
!
من حيث هيكل الدليل، يبدو أن هذا يشبه منصة إدارة ضحايا LockBit المكتوبة بإطار عمل PHP خفيف الوزن.
تحليل بنية الدليل:
لذا نفترض أن هذا المتسلل الذي جاء من "براغ" يجب أن يكون قد استخدم PHP 0 يوم أو 1 يوم لإنهاء موقع الويب ووحدة التحكم.
لوحة التحكم كما يلي:
!
جزء من معلومات التواصل في الدردشة:
!
لننظر إلى المعلومات المظللة بالإطار الأحمر: هل قام الضحية CEO بالدفع لمطالب الفدية من co ... coinbase؟
في الوقت نفسه، تتعلق قاعدة البيانات المسربة بحوالي 60,000 عنوان BTC:
!
تم تسريب كلمات مرور حسابات 75 مستخدمًا في قاعدة البيانات.
!
!
محادثة مثيرة للاهتمام حول المساومة:
!
ابحث عشوائيًا عن الطلبات الناجحة للدفع:
!
عنوان الطلب:
!
تتبع عنوان استلام البيتكوين باستخدام MistTrack:
!
تتجه تدفقات الأموال المغسولة بشكل واضح، وتدخل في النهاية إلى منصة التداول. نظرًا لقيود المساحة، ستقوم MistTrack بمزيد من التحليل على عناوين العملات المشفرة لاحقًا، إذا كنت مهتمًا يمكنك متابعة X: @MistTrack_io.
حاليًا، أصدرت LockBit الرسمية بيانًا جديدًا بشأن هذا الحدث. الترجمة تقريبًا كما يلي:
!
تأتي هذه الردود من LockBit بشكل ساخر. في وقت سابق، أصدرت وزارة الخارجية الأمريكية إشعار مكافأة للحصول على معلومات عن هوية وموقع الأعضاء الرئيسيين أو المتعاونين الرئيسيين في مجموعة LockBit، مع مكافأة تصل إلى 10 ملايين دولار. في الوقت نفسه، لتشجيع الكشف عن هجمات الأعضاء(Affiliates)، تم تقديم مكافأة إضافية تصل إلى 5 ملايين دولار.
اليوم، تم اختراق LockBit، حيث بدأوا في عرض مكافآت للبحث عن أدلة عن المهاجمين في قناتهم - كما لو أن "آلية صائد الجوائز" قد انقلبت ضدهم، مما يثير الضحك والبكاء، ويكشف أيضًا عن الثغرات والفوضى في نظام الأمان الداخلي لديهم.
( ملخص
LockBit نشط منذ عام 2019، وهو واحد من أخطر عصابات برامج الفدية في العالم، حيث تقدر الفدية المجمعة (بما في ذلك البيانات غير المعلنة) بما لا يقل عن 150 مليون دولار. نموذج RaaS (برامج الفدية كخدمة) الخاص بهم يجذب عددًا كبيرًا من الأعضاء للمشاركة في الهجمات. على الرغم من أن العصابة واجهت ضغوطًا قانونية بسبب "عملية كرونوس" في أوائل عام 2024، إلا أنها لا تزال نشطة. تشير هذه الحادثة إلى أن أمان النظام الداخلي لـ LockBit قد واجه تحديات كبيرة، مما قد يؤثر على سمعتها وثقة أعضائها واستقرار عملياتها. في الوقت نفسه، تُظهر أيضًا اتجاه "الهجمات العكسية" ضد منظمات الجريمة الإلكترونية في الفضاء السيبراني.
فريق أمان مان وو ينصح الأطراف المعنية:
تذكرنا هذه الحادثة مرة أخرى أنه حتى المنظمات القرصنة القوية تقنيًا لا يمكنها أن تكون محصنة تمامًا ضد الهجمات السيبرانية. وهذه أيضًا واحدة من الأسباب التي تجعل المتخصصين في الأمن يستمرون في الكفاح.