ظهرت نسخة LockBit 5.0، أحدث إصدارات منظمة برمجيات الفدية الأكثر نشاطًا في العالم، لتواصل إرث الهجمات المتطورة منذ ظهور المجموعة في سبتمبر 2019. تمثل هذه النسخة الجديدة تطوراً هاماً في مشهد التهديدات، حيث تقدم آليات تشفير محسنة وقدرات متقدمة لمكافحة التحليل، مما يجعل اكتشاف واسترداد البيانات أكثر صعوبة على المؤسسات.
تعمل البرمجية الخبيثة من خلال عملية هجوم منسقة بثلاث خطوات: الوصول الأولي إلى النظام عبر الثغرات الأمنية أو بيانات الاعتماد المخترقة، والحركة الجانبية مع تصعيد الامتيازات، وأخيراً، نشر برمجية الفدية بالكامل عبر شبكات الضحايا.
LockBit 5.0: تطورات متقدمة في التشفير والهجمات السيبرانية
يظل التأثير المالي لعمليات LockBit مذهلاً. بين أغسطس 2021 وأغسطس 2022، أعلنت المجموعة عن مسؤوليتها عن 30.25% من جميع هجمات برمجيات الفدية المعروفة عالمياً. وحتى مع تكثيف عمليات إنفاذ القانون ضد المجموعة، حافظت LockBit على هيمنتها، حيث شكلت حوالي 21% من هجمات برمجيات الفدية في عام 2023 وحده.
وقعت شركات في قطاعات تكنولوجيا المعلومات، والإلكترونيات، والمكاتب القانونية، والمؤسسات الدينية ضحية لهذه الهجمات، حيث بلغت مدفوعات الفدية وتكاليف الاسترداد مليارات الدولارات في جميع أنحاء العالم.
من جهة أخرى، تستمر منصة المجموعة على الويب المظلم في نشر قائمة علنية بالمنظمات المخترقة وبياناتها المسروقة كضغطة فعلية.
آليات التشفير والهجوم
لاحظ محللو ASEC أن LockBit 5.0 تقدم مرونة تشغيلية، حيث تعمل بشكل طبيعي حتى عند نشرها دون معلمات محددة. تقوم البرمجية الخبيثة بإنهاء العمليات المتعلقة بخدمة Volume Shadow Copy لمنع محاولات استعادة النظام، مع استخدام تقنيات تعبئة وتعتيم متقدمة لتعقيد التحليل الأمني الثابت.
والأهم من ذلك، تقوم برمجية الفدية بتطبيق خوارزميات تشفير حديثة تجمع بين ChaCha20-Poly1305 لتشفير الملفات و X25519 و BLAKE2b لتبادل المفاتيح الآمن، مما يجعل استعادة الملفات المشفرة مستحيلة باستخدام معلومات النظام المحلي فقط.
تمثل عملية التشفير تحفة في تطبيق التشفير الحديث. قبل بدء تشفير الملفات، تقوم LockBit 5.0 بشكل منهجي بحذف الملفات المؤقتة من مسارات Windows القياسية، بما في ذلك مجلدات AppDataLocalTemp، مما يزيل بيانات ذاكرة التخزين المؤقت غير الضرورية لتسريع عملية التشفير.
بعد ذلك، تقوم البرمجية الخبيثة بتعطيل خدمات النظام الحيوية باستخدام قيم التجزئة الثابتة، مستهدفة حلول النسخ الاحتياطي والأمان، بما في ذلك خدمات Veeam و Backup Exec و Microsoft Edge Update للقضاء على آليات الحماية المنافسة.
يعمل التشفير الفعلي من خلال عملية رياضية معقدة. تولد البرمجية الخبيثة رقمين عشوائيين منفصلين بحجم 32 بايت مستمدين من معلومات وقت النظام والذاكرة. باستخدام تشفير المنحنى الإهليلجي، تقوم باشتقاق المفتاح الخاص للضحية، وتوليد المفاتيح العامة المقابلة، وحساب قيمة سرية مشتركة تجمع بين المفتاح الخاص للضحية والمفتاح العام للمهاجم.
بالنسبة للملفات الأقل من 8 ميجابايت، يخضع الرقم العشوائي الأول لتجزئة BLAKE2b لتوليد مفتاح تشفير بحجم 32 بايت، والذي ينتج بعد ذلك تيار مفتاح ChaCha20 بحجم 64 بايت. يخضع تيار المفتاح هذا لعمليات XOR مع البيانات المستهدفة، مما يؤدي إلى إنشاء الملف المشفر النهائي. عندما تتجاوز الملفات هذا الحد، تقوم LockBit 5.0 بتقسيم البيانات إلى أجزاء بحجم 8 ميجابايت، ومعالجة كل جزء بشكل مستقل باستخدام دوال تجزئة مخصصة.
بعد اكتمال التشفير، تقوم البرمجية الخبيثة بإلحاق بيانات وصفية حرجة، بما في ذلك أحجام الملفات، والأرقام العشوائية المشفرة، وقيم المصادقة، والمفتاح العام للضحية، لضمان أن المهاجمين الذين يمتلكون مفتاحهم الخاص هم وحدهم القادرون على فك تشفير البيانات. تعكس هذه المتانة التقنية سنوات من تطور برمجيات الفدية، مما يضع LockBit 5.0 كواحدة من التهديدات الأكثر خطورة في مشهد التهديدات المعاصر.