Rhysida، عصابة برامج الفدية الجديدة التي تقف وراء الهجوم الإلكتروني على المكتبة البريطانية | الجريمة الإلكترونية

تمت إضافة اسم جديد إلى معرض عصابات برامج الفدية الخاصة بالمحتالين عبر الإنترنت هذا الأسبوع بعد أن قامت مجموعة إجرامية تدعى Rhysida مسؤوليتها بسبب الهجوم على المكتبة البريطانية.

وأكدت المكتبة أن البيانات الشخصية المسروقة في هجوم إلكتروني الشهر الماضي أصبحت معروضة للبيع عبر الإنترنت.

في حين أن الاسم الكامن وراء الهجوم قد يكون جديدًا نسبيًا، إلا أن الأسلوب الإجرامي ليس كذلك. تجعل عصابات برامج الفدية من الوصول إلى أجهزة الكمبيوتر الخاصة بالمؤسسة غير ممكن عن طريق إصابتها ببرامج ضارة – البرامج الضارة – ثم المطالبة بالدفع، عادة بالعملة المشفرة، لفتح الملفات.

ولكن في السنوات الأخيرة، وفي عملية أطلق عليها اسم “الابتزاز المزدوج”، تقوم غالبية العصابات بسرقة البيانات في نفس الوقت والتهديد بنشرها عبر الإنترنت، وهو ما يأملون أن يعزز موقفهم التفاوضي.

ظهرت Rhysida كمهاجم هذا الأسبوع من خلال نشر صور منخفضة الدقة للمعلومات الشخصية التي تم جمعها في الهجوم عبر الإنترنت، وعرضت البيانات المسروقة للبيع على موقع التسريب الخاص بها بعرض يبدأ بـ 20 بيتكوين، أو حوالي 590 ألف جنيه إسترليني.

وقال راف بيلينغ، مدير أبحاث التهديدات في شركة Secureworks للأمن السيبراني: “هذا مثال كلاسيكي على هجوم برنامج الفدية المزدوج للابتزاز، وهم يستخدمون التهديد بتسريب أو بيع البيانات المسروقة كوسيلة لابتزاز الأموال”.

في حين أن المكتبة البريطانية هي ضحية بريطانية رفيعة المستوى لريسيدا – التي سميت على اسم أ نوع حريش – الجماعة مسؤولة أيضًا عن هجمات على مؤسسات حكومية في البرتغال وتشيلي والكويت. وفي أغسطس/آب، أعلنت مسؤوليتها عن هجوم على مجموعة المستشفيات الأمريكية “بروسبكت ميديكال هولدينغز”.

الوكالات الحكومية الأمريكية أصدرت مذكرة استشارية على Rhysida الأسبوع الماضي، مشيرة إلى أن “متغير برامج الفدية الناشئة” قد تم نشره ضد قطاعات التعليم والتصنيع وتكنولوجيا المعلومات والحكومة منذ شهر مايو. وقالت الوكالات إنها شاهدت أيضًا عصابة Rhysida تدير عملية “برامج الفدية كخدمة” (Raas)، حيث تقوم بتأجير البرامج الضارة للمجرمين وتقاسم عائدات الفدية.

اسم Rhysida جديد على الجمهور، ولكن وفقًا لـ Secureworks فقد ظهر من عملية إجرامية تأسست في عام 2021. وتطلق Secureworks على تلك المجموعة اسم Gold Victor وتقوم بتشغيل مخطط فدية يسمى Vice Society.

إن ممارسة تغيير العلامة التجارية هذه أمر شائع بين العصابات الإجرامية – غالبا ما يتم تسميتها على اسم متغير برامج الفدية التي تنشرها – إذا أصبحت “علامتها التجارية” الحالية سيئة السمعة بشكل مفرط وتجذب الكثير من الاهتمام من جانب سلطات إنفاذ القانون.

غالبًا ما يتم إرفاق العلامة التجارية في نهاية أسماء الملفات المشفرة المتبقية بعد الهجوم، في فعل وصفه راف بأنه ترك “بطاقة اتصال”.

الهوية الدقيقة لعصابة ريسيدا غير معروفة، لكن بيلينج يفترض أنها تتبع نمط العملاء المماثلين الذين عادة ما ينتمون إلى عصابة ريسيدا. روسيا أو أعضاء كومنولث الدول المستقلة، التي تضم روسيا وبيلاروسيا وكازاخستان.

وقال بيلينج: “أفترض أنهم ربما يتحدثون الروسية، لكن ليس لدينا أي دليل دامغ”.

وفقًا للوكالات الأمريكية، استخدمت العصابات التي تستخدم برنامج الفدية Rhysida الشبكات الخاصة الافتراضية للمنظمات – الأنظمة التي يستخدمها الموظفون للوصول إلى أنظمة أصحاب العمل عن بعد – للدخول إلى الأنظمة، أو نشرت الأسلوب المألوف لهجمات التصيد، حيث يتم استهداف الضحايا يتم خداعهم، عادةً عبر البريد الإلكتروني، للنقر على رابط يؤدي إلى تنزيل برامج ضارة أو خداعهم لتسليم تفاصيل مثل كلمات المرور.

قال سبيلنج: “هذه تقنيات وصول شائعة”. بمجرد دخول العصابات، عادةً ما تكمن في النظام لفترة من الوقت. وفقًا لشركة Secureworks، انخفض وقت بقاء الهجمات إلى أقل من 24 ساعة بالنسبة للعصابات السيبرانية بشكل عام، مقارنة بأكثر من أربعة أيام في عام 2022. وهذا يساعد على تجنب اكتشافها.

وفقًا لوثيقة الوكالات الأمريكية، تعد العملة المشفرة شكلًا شائعًا لطلب الفدية لمهاجمي Rhysida، وذلك تماشيًا مع بقية جماعة القرصنة الإجرامية. تحظى الأصول الرقمية مثل البيتكوين بشعبية كبيرة لدى عصابات برامج الفدية لأنها لا مركزية – فهي تعمل خارج النظام المصرفي التقليدي وبالتالي تتجاوز عمليات التحقق القياسية – ويمكن حجب المعاملات، مما يزيد من صعوبة تتبعها.

يرسل مهاجمو Rhysida ملاحظات الفدية الخاصة بهم بعنوان “CriticalBreachDetected” في ملف PDF. تزود المذكرة كل مستلم برمز فريد وتعليمات للاتصال بالمجموعة عبر متصفح ويب متخصص يجعل الاتصالات غير قابلة للتعقب.

إن دفع طلبات الفدية في المملكة المتحدة أمر مرفوض بشدة ولكنه ليس غير قانوني، إلا إذا كنت تعلم – أو تشك – أن العائدات تذهب إلى جيوب الإرهابيين. وفقًا للمركز الوطني للأمن السيبراني: “لا يشجع تطبيق القانون أو يؤيد أو يتغاضى عن دفع طلبات الفدية”.

في الولايات المتحدة، لا تشجع الحكومة أيضًا دفع الفدية، لكن مذكرة استشارية من الحكومة الخزانة الامريكية 2020 وشدد على أن هذا كان “للتوضيح فقط” وليس له “قوة القانون”.

تزايدت مدفوعات برامج الفدية، وفقًا لشركة الأمن السيبراني البريطانية سوفوس. وذكرت أن المتوسط تضاعفت مدفوعات برامج الفدية تقريبًا لتصل إلى 1.2 مليون جنيه إسترليني خلال العام الماضي. وفي ظل هذه الخلفية، سوف تستمر “العلامات التجارية” الجديدة لبرامج الفدية في الظهور.