ההאקר הישראלי-רוסי שפיתח את LockBit הוסגר לארה"ב

בית המשפט המחוזי בירושלים החליט באחרונה להיענות לבקשת הפרקליטות להסגיר לארצות הברית את רוסטיסלב פאנב, האקר ישראלי-רוסי בן 51, שעל פי החשד, הוא האיש שעומד מאחורי קבוצת הכופרה LockBit. הקבוצה הצליחה לגנוב עד כה לפחות חצי מיליארד דולר ולגרום נזקים נוספים בהיקף מיליארדי דולרים. משרד המשפטים האמריקני דיווח על ההסגרה בסוף השבוע.

פאנב היה עצור בישראל מאוגוסט האחרון, ובאוקטובר הגישה הפרקליטות את הבקשה להסגרתו לבית המשפט המחוזי. צו איסור הפרסום על הפרשה הוסר בנובמבר. הבקשה התקבלה, ובשבוע שעבר הוא הוסגר לארצות הברית. ביום ה' הוא הובא בפני שופט בניו ג'רזי, וכעת הוא עצור שם לפני משפט.

על פי המסמכים שהוגשו לבית המשפט בניו ג'רזי והצהרות התביעה בדיון, פאנב פיתח את כופרת LockBit ב-2019 או בסמוך לה, ופעל לפחות עד פברואר 2024. במהלך הזמן הזה, הוא וקבוצתו הביאו את LockBit להיות, לפרקים, קבוצת הכופרה האקטיבית וההרסנית ביותר בעולם. המסמכים מפרטים כי "קבוצת LockBit תקפה יותר מ-2,500 קורבנות בלפחות 120 מדינות ברחבי העולם, כולל 1,800 קורבנות בארצות הברית. הקורבנות שלהם נעו בין אנשים פרטיים, דרך ארגונים קטנים ועד לתאגידים בינלאומיים, לרבות בתי חולים, בתי ספר, ארגונים ללא מטרות רווח, תשתיות קריטיות, וסוכנויות ממשלתיות ושל אכיפת חוק. חברי LockBit גנבו מקורבנותיהם לפחות חצי מיליארד דולר בדמי כופר וגרמו להפסדים אחרים בשווי של מיליארדי דולרים, כולל הפסדי הכנסות, ועלויות תגובה לאירועים וגיבוי".

בהודעה של התביעה צוין כי חברי LockBit התחלקו ל-"מפתחים", בהם פאנב, ולכל האחרים, שכונו "שותפים" (Affiliates) – ושביצעו את המתקפות וגנבו את הכספים מהקורבנות. ה-"מפתחים" וה-"שותפים" חילקו את השלל ביניהם.

בתביעה האמריקנית מצביעים על מסרים אודות התקיפה שפאנב העביר למנהלן של LockBit, דרך פורום בדארקנט. בין וני 2022 לפברואר 2024, צוין, עשה אותו מנהלן שורה של העברות של מטבעות קריפטו, בסך שווה ערך ללפחות 10,000 דולר בחודש, שאותם הוא הלבין דרך שירות אחד או יותר. הסכום הכולל של ההעברות האלה נאמד ב-230 אלף דולר.

בעודו עצור בישראל, פאנב הודה בביצוע עבודות קידוד, פיתוח וייעוץ לקבוצת LockBit, וכי קיבל על כך תשלומים בקריפטו. בתביעה האמריקנית אומרים כי ההודאה שלו תואמת לממצאים שלהם. בין היתר, הוא פיתח עבור הקבוצה קוד להשבתת תוכנת אנטי וירוס, שתילת נוזקות במחשבים רבים שהיו מקושרים לרשת של אחד הקורבנות של הקבוצה, והדפסת מנשר מטעם חברי הקבוצה בכל המדפסות המחוברות לרשת של אותו קורבן. פאנב גם הודה כי הוא כתב ותחזק את נוזקת LockBit, וכי הוא נתן ייעוץ טכני לחברי הקבוצה.

מיהי קבוצת ההאקרים הידועה לשמצה?

בספטמבר אשתקד פרסמנו מחקר של פורסקאוט, הישראלית במקורה, שלפיו חלה עלייה של 6% במתקפות כופרה במחצית הראשונה של השנה, בהשוואה לתקופה המקבילה אשתקד. לפי המחקר, LockBit הייתה קבוצת האיום הפעילה ביותר בתקופה זו, והייתה אחראית ל-15% מההתקפות. זאת, למרות מבצע אכיפת חוק בינלאומי שכוון לתשתית של הקבוצה.

במבצע קרונוס, שנערך בפברואר 2024 על ידי ה-FBI, היורופול ושותפים בינלאומיים נוספים – רשויות אכיפת החוק של 12 מדינות שיבשו את התשתית המשמשת את סינדיקט הכופרה, שפעל גם בישראל, ופגע בה בעשרות קורבנות. אמנם זוהו כמה קמפיינים משמעותיים של LockBit גם אחרי השיבוש, אך היו אלה כנופיות אחרות שהשתמשו בנוזקות שלה.

במבצע השתלטו כוחות אכיפת החוק על סביבת הניהול המרכזית של LockBit ועל אתר המשמש את הקבוצה להדלפת נתונים ששייכים לקורבנותיה. בנוסף, נתפסו שירות שיתוף הקבצים, שרת התקשורת, שרתי התמיכה ושרתים נוספים של הקבוצה. צוותי האבטחה של רשויות האכיפה הצליחו להשיג גישה לכמעט 1,000 מפתחות פענוח, שאפשרו לעזור לקורבנות לפענח את המערכות שהוצפנו על ידי LockBit ולהשיב להם את הגישה לנתונים שלהם. כמו כן, נתפס קוד המקור של פלטפורמת LockBit, הוקפאו יותר מ-200 חשבונות קריפטו המקושרים לקבוצה ונעצרו שני חברים מרכזיים בה – בפולין ובאוקראינה.

מתקפות כופרה ותשלום במטבע וירטואלי. קבוצת LockBit. צילום: ShutterStock

במאי אשתקד, משרד החוץ האמריקני הציע פרס של עד 10 מיליון דולר עבור מידע שיוביל למעצרו של דימיטרי יוריביץ' חרושב, בן 31 מרוסיה, שנמנה עם צוות מפתחי הכופרה LockBit. בכתב אישום נגד חרושב, נטען כי הכנופייה חדרה לחברות IT כמו אקסנצ'ר ו-CDW – ומשם גם ללקוחותיהן. לפי כתב האישום, שהוא בן 26 סעיפים, חרושב קיבל 20% מכל תשלום דמי כופר שנסחט מהקורבנות.

אחת הקבוצות הפעילות והיעילות ביותר בתחומה

קבוצת הכופרה LockBit פעלה יותר מארבע שנים, והיא הייתה אחת מהקבוצות הפעילות והיעילות ביותר בעולם בתחומה. היא הובילה בראש רשימת הכופרות הפעילות ביותר פעמים רבות, והייתה אף השכיחה ביותר. מאז שהגיחה לעולם הכופרה ב-2019, בגרסתה הראשונה, LockBit אחראית על מאות תקיפות נגד יעדים מכל מגזר, בכל גודל ובכל רחבי העולם. הקבוצה מציעה את המוצר שלה ככופרה כשירות, מה שאומר שהיא חולקת את הרווחים עם השוכרים.

לפי מערך הסייבר הלאומי, "בחודשים האחרונים זוהו בישראל תקיפות רבות שמשתמשות בכופרה. 3.0 LockBit היא הגרסה שבאמצעותה בוצעו מרב התקיפות שזוהו בישראל, כאשר בחלקן נראה שהתוקפים הם לקוחות של הקבוצה, וחלקם מנצלים את קוד המקור כדי להשתמש בכופרה לצורך האישי והבלעדי שלהם".

למרות פירוק התשתית של LockBit, מומחים העריכו שבטווח הארוך, חבריה יתאוששו.

"ארצות הברית תמצא ותעמיד לדין את כל חברי LockBit"

עו"ד ג'ון גיורדאנו ממשרד התובע הכללי של ארצות הברית אמר כי "הסגרתו של פאנב לארצות הברית מבהירה שאם אתה חבר בקבוצת LockBit, ארצות הברית תמצא אותך ותעמיד אותך לדין. אפילו כאשר האמצעים והשיטות של פושעי הסייבר נעשים יותר מתוחכמים, המשרד שלנו, המחלקה לפשעים ב-FBI וגופי אכיפת חוק בינלאומיים שהינם שותפים שלנו מחויבים כיום יותר מאי פעם להביא את הפושעים האלה לדין".

טרנס ריילי, סוכן מיוחד במחלקת הפשעים של ה-FBI, אמר כי "אף אחד לא בטוח מפני מתקפות כופרה – מאנשים פרטיים ועד לארגונים ומוסדות. יחד עם השותפים הבינלאומיים, ה-FBI ממשיך להפוך אבן על אבן כשזה מגיע לרדיפה אחר LockBit וחבריה. נמשיך לעבוד ללא ליאות כדי מנוע משחקני איום כמו פאנב מלבצע פעולות פריצה לרווח כספי".