متغير جديد من برمجية الفدية LockBit وصفته Trend Micro بأنه الأخطر حتى الآن مقارنة بالإصدارات السابقة، مؤكدة أنه بدأ بالانتشار الفعلي. ويأتي ذلك بعد إعلان مجموعة LockBit الإجرامية في سبتمبر 2025 عن إطلاق الإصدار 5.0 بمناسبة مرور ست سنوات على تأسيسها. وأوضح باحثو الشركة أنهم رصدوا نسخة موجهة لنظام Windows، إلى جانب نسخ أخرى تستهدف Linux وESXi، ما يعكس استمرار المجموعة في تبني استراتيجية الهجمات متعددة المنصات التي تتيح استهداف الشبكات المؤسسية بشكل متزامن من الأجهزة المكتبية وصولاً إلى الخوادم الحيوية.
وأشار التقرير إلى أن الإصدارات الجديدة تمنح شركاء المجموعة خيارات أوسع للتنفيذ وإعدادات أكثر تفصيلاً، مع تحسينات تقنية بارزة مثل إزالة العلامات التقليدية للإصابة، وزيادة سرعة التشفير، ورفع كفاءة آليات التهرب من أنظمة الكشف. وأكد الباحثون أن هذه التحديثات تظهر قدرة المجموعة على تجاوز الحملات الأمنية التي تعرضت لها بنيتها التحتية في مطلع 2024، وتعكس مرونتها في تطوير أساليبها وأدواتها بوتيرة عدائية متسارعة.
تحليل فني لخصائص LockBit 5.0
أظهر التحليل أن النسخة الموجهة لـWindows تتميز بواجهة استخدام أوضح وأكثر تنظيماً للشركاء مقارنة بالإصدارات السابقة، مع توفير خيارات متعددة تشمل تحديد الأدلة المطلوب تشفيرها أو استثناؤها، وأنماط التشغيل مثل الوضع الخفي أو الوضع التفصيلي، وإعدادات الملاحظات ورسائل الفدية، وخيارات التشفير، وآليات التصفية. ويرى الباحثون أن هذا التنوع في الأوامر والخيارات يعزز مرونة المهاجمين في تخصيص الهجمات.
عقب التنفيذ، يولد البرنامج رسالة فدية مميزة توجه الضحايا إلى موقع تسريبات مخصص تديره المجموعة، ويتضمن قناة تواصل مباشرة للتفاوض عبر خاصية الدردشة مع الدعم الفني. كما يضيف المتغير الجديد امتداداً عشوائياً مكوناً من 16 رمزاً إلى الملفات المشفرة لتعقيد جهود الاستعادة، فضلاً عن إزالة العلامات التي كانت توضع في نهاية الملفات لزيادة صعوبة التحليل. ويستخدم البرنامج تقنيات متقدمة لمحو الأدلة، من بينها تعطيل تتبع الأحداث لنظام ويندوز عبر تعديل واجهة EtwEventWrite.
وبحسب التقرير، يستمر LockBit 5.0 في استخدام آلية فحص الموقع الجغرافي للتوقف عن العمل في حال اكتشاف إعدادات اللغة الروسية أو مواقع مرتبطة بروسيا. وبين الباحثون أن النسخ المخصصة لـLinux وESXi تحمل خصائص مشابهة، إلا أن استهداف ESXi يعد تصعيداً نوعياً باعتباره يتيح تشفير بيئات افتراضية كاملة بضربة واحدة، وهو ما يشكل خطراً مضاعفاً على البنية التحتية المؤسسية.
تطور تدريجي أم نسخة جديدة بالكامل
أوضح التحليل أن الإصدار الجديد يعتمد بشكل كبير على الشيفرة المصدرية لـLockBit 4.0، مع الاحتفاظ بخوارزميات التجزئة وآليات التعرف على الخدمات ذاتها، ما يشير إلى أنه تطوير تدريجي وليس إعادة كتابة كاملة. واعتبر الباحثون أن 5.0 يمثل امتداداً مباشراً لعائلة LockBit وليس محاولة انتحال أو إعادة تسمية من طرف آخر.
الخط الزمني لتطور برمجية الفدية LockBit
- يناير 2020: إصدار LockBit 1.0 المعروف باسم ABCD
- يونيو 2021: إطلاق LockBit 2.0 (Red) مع أداة تسريب البيانات StealBit
- أكتوبر 2021: طرح نسخة LockBit Linux لاستهداف Linux وESXi
- مارس 2022: إصدار LockBit 3.0 (Black) الذي تسرب لاحقاً نتيجة خلاف داخلي مع أحد المطورين
- يناير 2023: إطلاق LockBit Green الذي تبين لاحقاً أنه إعادة تسمية لمشفر Conti
- فبراير 2025: طرح LockBit 4.0 رسمياً بميزات مراوغة جديدة لكنه تراجع عن بعض خصائص LockBit 3.0
- سبتمبر 2025: إعلان LockBit 5.0 بقدرات محسنة وتكتيكات أكثر تطوراً
