רוסטיסלב פאנב (51), אזרח ישראלי מנשר שבצפון, נעצר לפני מספר שבועות במסגרת הליכי הסגרה לארצות הברית, בחשד שהיה חלק מקבוצת האקרים בינלאומית שביצעה תקיפות סייבר על עסקים וארגונים, למטרות סחיטת כופר.
ממשלת ארה"ב ביקשה את הסגרתו בעקבות כתב אישום שהוגש נגדו בחודש אוגוסט בבית המשפט המחוזי בניו ג'רזי. פאנב מבוקש בארה"ב על עבירות של קשירת קשר לחדירה למחשב, הונאה באמצעים אלקטרוניים וסחיטה.
כעת הפרקליטות בישראל באמצעות המחלקה הבינלאומית מבקשת להכריז עליו כבר-הסגרה.
לפי כתב האישום שהוגש בארה"ב, פאנב משתייך לקבוצת LockBit, קבוצת האקרים מהבולטות בעולם בתחום מתקפות סייבר. הקבוצה פיתחה ומכרה לפצחנים אחרים בעולם תוכנות "כופרה" – תוכנה זדונית המגבילה גישה למחשב הנגוע, ומעבירה אותו למחשב בשליטת התוקף.
לאחר המתקפה, מתבקש הקרבן לשלם דמי כופר כדי לקבל בחזרה גישה למחשב שלו ולמידע האצור בו.
בבקשה האמריקאית נטען, כי התוכנה שפיתחה הקבוצה שימשה לתקיפת מחשבים של כ-2,500 קורבנות, ארגונים ועסקים, שנדרשו לשלם דמי כופר בתמורה לשחרור מחשביהם ומידע רגיש. במקרים של סירוב תשלום, המידע שנגנב פורסם על גבי שרת ייעודי של הקבוצה.
עוד נטען, כי 1,800 תקיפות היו כלפי קורבנות אמריקאים. בארה"ב מעריכים כי הקבוצה הצליחה במתקפות סייבר שביצעה לסחוט מקרבנותיה כ-500 מיליון דולר, וגרמה נזקים גדולים בהרבה.
בבקשת ההסגרה נטען, כי בין השנים 2019-2024 שימש רוסטיסלב פאנב מנשר כמפתח תוכנה בקבוצת LockBit. לא נטען כי ביצע פריצות בעצמו, אלא כי התוכנה שהיה שותף בפיתוחה נמכרה להאקרים אחרים ושירתה אותם במתקפות.
המתקפות שבוצעו דרך תשתית LockBit התחילו בחדירה למחשב הקורבן בדרכים מגוונות, תוך ניצול פרצות וחולשת רשת, או באמצעות הונאת הקורבן במטרה לגרום לו להוריד קובץ נגוע בנוזקה למחשבו.
לאחר שהפצחן הצליח לקבל גישה למחשב, הוא החדיר את תוכנת הכופרה המצפינה את המידע במחשבו של הקורבן, או מעבירה אותו לשליטת התוקף. בשלב זה פנה הפצחן לקורבן ודרש דמי כופר במטבעות מבוזרים כמו ביטקוין, בתמורה להחזרת המידע או שחרור ההצפנה של המחשב.
לפי הנטען, אם הקורבן שילם את דמי הכופר, המפתחים של קבוצת LockBit (כמו הישראלי) היו מקבלים 20 אחוז מההאקרים עבור שירותיהם.
המפתחים של LockBit התאימו את תוכנת הכופרה באופן ייעודי לכל מתקפה ספציפית, באמצעות לוח בקרה.
בבקשת ההסגרה נטען כי פאנב, במסגרת פעילותו, פיתח רכיבים מתקדמים, בהם כלי המאפשר הדפסת מכתבי כופר מכל מדפסת המחוברת למחשב הנתקף.
לפי הנטען, ישנן ראיות שפאנב קיבל מקבוצת LockBit תמורה בשווי של 230 אלף דולר לחשבון שלו בבורסת ביטקוין – ששיתפה פעולה עם רשויות החקירה בארה"ב. מתוקף מעשיו מיוחסת לו שותפות למעשי הסחיטה לכאורה שביצעה קבוצת LockBit.
בקשת ההסגרה מפרטת דוגמאות לתשעה עסקים וארגונים אמריקאים שנפגעו ממתקפות ההאקרים ושילמו לקבוצת LockBit מיליוני דולרים עבור שחרור מחשביהם. בין היתר צוינו חברה בטחונית בינלאומית בתחום התעופה מוירג'יניה, סוכנות אכיפת חוק מניו ג'רזי ומוסד פיננסי סיני בעל סניפים בניו יורק, שהותקפו על ידי ההאקרים.
במסגרה בקשה אמריקאית לעזרה משפטית, פאנב נעצר בישראל באוגוסט האחרון ונתפסו ראיות לכאורה במחשביו. לפי הנטען, במחשב נתפס עותק של מכתב כופר, לצד קוד מקור של תוכנת הכופרה בגרסאות שונות ונתפסו התכתבויות ברשת האפלה.
רשויות ארה"ב חוקרות את קבוצת LockBit מחודש מרס 2020, ובפברואר האחרון – במסגרת שיתוף פעולה עם בריטניה – הצליחו לתפוס בבריטניה את שרתי LockBit ולהוציא מהם מידע רב. בעקבות זאת, בחודש מאי הוגשו בארה"ב שישה כתבי אישום נגד שותפים בקבוצת LockBit. שניים הודו בביצוע העבירות וממתינים לגזר דינם, ועל פי הסדרי הטיעון צפויים לעונשי מאסר של בין 15 ל-20 שנים. היתר הם בסטטוס של עבריינים נמלטים.
פאנב נולד באוקראינה (ברית המועצות דאז) ועלה לישראל בשנת 2008. לאחר קבלת בקשת הסגרה רשמית מארה"ב וחתימת שר המשפטים על ההוראה המתאימה, הוגשה עתירה לבית המשפט המחוזי בירושלים להכרזתו בר-הסגרה.
לצד זאת, פרקליטות המדינה באמצעות עו"ד אבי קרוננברג מבקשת את מעצרו עד תום ההליכים. נטען כי העבירות המיוחסות לו ניתנות לביצוע מכל מקום באמצעות מחשב, ולכן לא ניתן לאפשר לו חלופת מעצר.
עוד נטען כי לפאנב יש גם אזרחות רוסית, והוא אף חי לסירוגין ברוסיה ובישראל, ואם יימלט לרוסיה עשוי להיות מוגן – מאחר שרוסיה אינה מסגירה את אזרחיה.
סנגוריו של פאנב, עורכי הדין שרון נהרי ותבור לנג ממשרדו, המתמחים בתיקי צווארון לבן והסגרות בינלאומיות, מסרו בתגובה: "מרשנו עבד למחייתו כמפתח תוכנה עצמאי. חלקו הינו בפיתוח חלק מהתוכנה בלבד, והוא לא פיתח דבר לקבוצת הפצחנים שמנסים לקשר אותו אליה. מרשנו לא היה מודע או שותף לביצוע העבירות העיקריות, קרי, קשירת קשר לפשע, מרמה, סחיטה, עבירות המחשב והלבנת ההון".
