בעוד הדואר המלכותי של בריטניה מתלבט מה לעשות בנוגע לדרישת הכופר שקיבל - חבר לכאורה בקבוצת ההאקרים לוקביט (LockBit) הודיע שהקבוצה לוקחת אחריות על המתקפה. עסוקים שם, בלוקביט: רק בחודש האחרון פגעו לטענתם ב-40 ארגונים, מבית ספר פרטי במלזיה ועד מרכז לבריאות שיניים בסידני. בכך סייעו בהסרת המעטה מכנופיית הכופר הפורייה ביותר בעולם.

הקבוצה כבר הכתה בלונדון באוקטובר 2022, אז הפילה בפח את חברת הביטוח Kingfisher. אבל הדואר המלכותי, חלק מענף משלוחים בהיקף של 2.2 מיליארדי פאונד, הוא המטרה הגדולה ביותר שלה עד כה. חלק מכריע מהתשתית החיונית של בריטניה, שנותרה לפתע ללא יכולת לשלוח דואר מחוץ לאיים הבריטיים. והזרקור – הן מצד כנופיות האקרים יריבות והן מצד הרשויות בבריטניה – הופנה סוף-סוף לעבר לוקביט.

"חבר'ה, אפשר להירגע", נאמר בפוסט אנונימי שנוצר בפורום פרטי וגילה שמאחורי ההתקפה עומדים האקרים המקושרים ללוקביט. את הפוסט שיתף חוקר אבטחה עם ה-FT.

את הפריצה ביצע האקר-עילית. אחד מעשרת הטובים ביותר בכנופיית לוקביט שהולכת ומתרחבת. מי שהתמחה בעבודות החשובות של פיענוח נותנים, ולאחר גביית הכופר גם מחיקה של הנתונים הגנובים.

שמואל גיחון, חוקר אבטחה בסייברינט: "לוקביט מתנהלים בצורה טובה פי כמה מהרבה חברות לגיטימיות. הם מקצוענים, דואגים ליחסי הציבור שלהם, מתמקדים במוצר, בביזנס, מתרחקים מפוליטיקה. הם מציגים את עצמם כארגון שאין להתעלם ממנו. בקנה המידה הזה הם יגיעו לכל מקום ואין הרבה מה לעשות בנוגע לכך"

הדואר המלכותי טרם אישר רשמית כי לוקביט פרצה את הגנות הסייבר שלו, הצפינה את נתוניו, מחזיקה בהם ודורשת כופר תמורתם. החברה סירבה לענות אם היא מקיימת משא-ומתן עם ההאקרים, או כמה זמן צפויים השיבושים להימשך. בשימוע בפרלמנט ביום שלישי אמר מנכ"ל הדואר המלכותי סיימון תומפסון לחברי הפרלמנט שהובהר לו כי "דיון בפרטים עלול להזיק".

השיבושים במשלוחים הבינלאומיים, שנמשכים כבר שבוע, מגיעים אחרי 18 ימי שביתה בחמשת החודשים האחרונים, ומוסיפים לחץ על הדואר המלכותי לפתור את המצב. אבל הדואר בממלכה ניצב מול גרסה מפותחת של איום כופרה. חוקרי אבטחה מתארים את לוקביט ככנופיית הכופרה הכי מקצועית, חלקלקה ויעילה בעולם.

בשנה החולפת ניצלו האבות המייסדים של הקבוצה את התפרקותה של קבוצה יריבה כדי להשתלט על נתח השוק שלה; הם הוציאו גרסאות חדשות של הנוזקה שלהם (LockBit 3.0) שעושה אוטומציה למטלות הבסיסיות ביותר; ערכו מבצעי שיווק שהציעו למשל 1,000 דולר עבור קעקוע עם שם הקבוצה וסיפקו ליעדים שלהם עצות כנות כיצד להתגונן: הוציאו עשרה אחוזים מהתקציב על אבטחת סייבר, הוסיפו אמצעי הגנה למחשבים שלכם ושכרו גורם חיצוני שיחפש נקודות תורפה.

היעילות המבריקה של הקבוצה זרעה הרס ברחבי העולם: לוקביט אחראית לקצת יותר מרבע מהתקפות הכופרה ב-2022, כך לדברי חברת האבטחה הישראלית סייברינט (CyberInt). הבשורות הרעות הן שכעת, כשהיא מושקעת עמוקות בעסקי הכופרה - הקבוצה מוכנה להתרחב עוד ועוד.

קעקוע עם הלוגו של לוקביט (צילום: Cyberint, FT)
קעקוע של לוקביט. הקבוצה הציעה 1,000 דולר למי שיקעקע את שמה על גופו|צילום: Cyberint, FT

במידה רבה החליפה לוקביט את קבוצת ההאקרים הרוסית קונטי. בימי זוהרה, ב-2020-2021, גרפה הקבוצה כשלושה מיליארדי דולרים, להערכת סייברינט. הקבוצה התפרקה לאחר שחבר אוקראיני שהתנתק ממנה על רקע עמדותיה הפוליטיות הפרו-רוסיות - חשף אותה.

"לוקביט מתנהלים בצורה טובה פי כמה מהרבה חברות לגיטימיות. הם מקצוענים, דואגים ליחסי הציבור שלהם, מתמקדים במוצר, בביזנס, מתרחקים מפוליטיקה", אמר שמואל גיחון, חוקר אבטחה בסייברינט שעקב אחר הקבוצה מקרוב. "הם מציגים את עצמם כארגון שאין להתעלם ממנו. בקנה המידה הזה הם יגיעו לכל מקום ואין הרבה מה לעשות בנוגע לכך".

הקבוצה עובדת במודל "Ransomware as a Service", בו היא משכירה את הנוזקה שלה ומספקת תמיכה טכנית לשותפים מרוחקים שחודרים לרשתות היעד ושותלים נוזקה של לוקביט. בשלב זה, חברים בכירים בקבוצה נכנסים לעניינים ומשתלטים על המשימות המורכבות יותר: מסתננים לאזורים מאובטחים יותר של רשת היעד, מזהים קבצים קריטיים שאותם יש להצפין ואז מנחים את המשא-ומתן על הכופר, או אפילו מנהלים אותו בעצמם. בסופו של דבר הם לוקחים עמלה, שמגיעה לעיתים קרובות ל-20%.

הסברה היא שלוקביט, כמו הרבה קבוצות כופרה אחרות, ממוקמת ברוסיה ובמדינות שכנות שבהן לא מתקבל על הדעת כי הרשויות יחקרו את החברים החיוניים באותן הקבוצות, שלא לדבר על הסגרה.

הקבוצה עובדת במודל "Ransomware as a Service", בו היא משכירה את הנוזקה שלה ומספקת תמיכה טכנית לשותפים מרוחקים שחודרים לרשתות היעד ושותלים נוזקה של לוקביט. בסופו של דבר הם לוקחים עמלה, שמגיעה לעיתים קרובות ל-20%

בנובמבר האשימו הרשויות בארצות הברית אדם בעל אזרחות רוסית-קנדית בשיתוף פעולה עם לוקביט. הם הציגו כראיה את נוכחותו בפורום פרטי שסיפק ייעוץ טכני בענייני משא-ומתן על כופר, ואת בעלותו על שבריר ביטקוין שהיה חלק מכופר ששולם כמה שעות קודם לכן. הוא האדם היחיד שידוע כי נעצר או הוגש נגדו כתב אישום בעוון עבודה עם לוקביט לכאורה.

ה-FBI העריך אז שלוקביט הרוויחה למעלה ממאה מיליון דולר בדרישות כופר, ולדברי חוקרי אבטחה זו ככל הנראה הערכת-חסר. מתקפות כופר מוצלחות מגיעות לידיעת הציבור רק לעתים רחוקות, וזו עובדה שלוקביט מפרסמת כחלק מסוד קסמה, שכן בכך מתאפשר לתאגידים להימנע ממבוכה וביקורת על מתקפת ההאקרים.

אם לא ישלם הדואר המלכותי את הכופר – פתרון מפוקפק משפטית – מצפים לו שבועות אם לא חודשים של שיבושים, אמרה האנה דיירלי, מנהלת מחקרי האיומים בחברת Darktrace. במצב כזה התאוששות מהמתקפה תארך "במקרה הטוב ביותר ימים או שבועות, ובמקרה הרע, שבועות וחודשים", אמרה. "זה כמו לזרוק אבן למים – עם הזמן מגלים עוד גלים של השפעות".

מנכ
מנכ"ל הדואר המלכותי סיימון תומפסון בפרלמנט. "בוחן מעקפים" לבעיה כדי לחדש את השירות|צילום: Parliament TV, FT

מנכ"ל הדואר המלכותי, סיימון תומפסון, אמר לפרלמנט ביום שלישי כי הוא "בוחן מעקפים" לבעיה כדי לחדש את השירות, בשעה שתושבים וחברות בבריטניה עדיין לא יכולים לשלוח מכתבים וחבילות לחו"ל.

עבור תשתית חיונית כמו הדואר המלכותי, תהליך התאוששות מהמתקפה יהיה מייגע, אמרה דיירלי. "אי אפשר לעבור למצב לא-מקוון ולתקן מה שצריך לתקן – צריך עדיין להמשיך לתפעל את מה שחיוני".

© The Financial Times Limited 2023. All Rights Reserved. Not to be redistributed, copied or modified in anyway. tech12 is solely responsible for providing this translation and the Financial Times Limited does not accept any liability for the accuracy or quality of the translation