وفي عملية مشتركة تم تنفيذها مع وكالات إنفاذ القانون من جميع أنحاء أوروبا والولايات المتحدة، اعتقلت السلطات الأوكرانية خمسة لاعبين رئيسيين في النظام البيئي لبرامج الفدية في الحجز، بما في ذلك زعيم العصابة المزعوم.
وتم القبض على الرجال المتهمين في 21 نوفمبر/تشرين الثاني بعد مداهمات منسقة على 30 عقارًا في كييف وتشيركاسي وريفني وفينيتسا. ويُزعم أنهم قاموا بنشر خزائن برامج الفدية LockerGoga وMegaCortex وHive وDharma على شبكات ضحايا الشركات في أكثر من 70 دولة.
وقالت وكالة الاتحاد الأوروبي (يوروبول)، التي نسقت العملية، إن الاعتقالات جاءت في وقت حرج مع دخول الحرب الروسية على أوكرانيا شتاءها الثاني. كما أنها تتويج لجهود استمرت عدة سنوات يعود تاريخها إلى ما يقرب من خمس سنوات.
وقالت يوروبول: “بمبادرة من السلطات الفرنسية، تم تشكيل فريق تحقيق مشترك (JIT) في سبتمبر 2019 بين النرويج وفرنسا والمملكة المتحدة وأوكرانيا، بدعم مالي من يوروجست ومساعدة من كلتا الوكالتين”.
وقالت الوكالة: “يعمل الشركاء في فريق التحقيق المشترك منذ ذلك الحين بشكل وثيق معًا، بالتوازي مع التحقيقات المستقلة التي تجريها السلطات الهولندية والألمانية والسويسرية والأمريكية، لتحديد مواقع التهديد في أوكرانيا وتقديمهم إلى العدالة”. “لقد ظل هذا التعاون الدولي ثابتًا دون انقطاع، ومستمرًا حتى في ظل التحديات التي تفرضها الحرب المستمرة في أوكرانيا”.
التالي جولة سابقة من الاعتقالات تمت في عام 2021، وقد مكن تحليل الطب الشرعي الإضافي الكونسورتيوم ليس فقط من تحديد واستهداف المشتبه بهم الذين تم القبض عليهم الأسبوع الماضي، ولكن أيضًا من العمل مع الشركاء في NoMoreRansom و بيتدفندر لتطوير برامج فك التشفير المجانية لبرنامجي الفدية LockerGoga وMegaCortex.
كان لدى المعتقلين مجموعة من المسؤوليات في النظام البيئي العام، حيث يُعتقد أن البعض شاركوا بنشاط في الوصول إلى أنظمة ضحاياهم واختراقها باستخدام تقنيات مثل هجمات القوة الغاشمة، وحقن SQL، وتكتيكات التصيد والهندسة الاجتماعية.
ثم استخدموا أدوات مثل البرنامج الخبيث TrickBot، وإطار عمل الفريق الأحمر Cobalt Strike، وPowerShell Empire لتأسيس الثبات وتنفيذ هجمات برامج الفدية الخاصة بهم. ويشتبه في أن آخرين شاركوا في غسل مدفوعات العملة المشفرة التي دفعها بعض ضحاياهم.
توصل التحقيق إلى أن الجناة قاموا بتشفير أكثر من 250 خادمًا تابعًا لشركات كبيرة، مما أدى إلى خسائر تجاوزت عدة مئات الملايين من اليورو.
وقال: “إن اعتقال الأفراد المرتبطين بحوادث برامج الفدية البارزة يبعث برسالة واضحة مفادها أنه ستكون هناك عواقب لهذه الهجمات”. مانديانت رئيس تحليل الجرائم الإلكترونية كيمبرلي جودي. “يبدو أن الأفراد قيد التحقيق قد عملوا كشركاء تابعين لخدمات برامج فدية متعددة بمرور الوقت و/أو في وظائف داعمة لتمكين مجموعات متعددة.
وقالت: “عادة ما تتعاون الجهات التهديدية مع جهات فاعلة مختلفة مع مرور الوقت لتنفيذ جوانب معينة من التسوية، مثل الوصول الأولي أو غسيل الأموال، وهو ما يحتمل أن يكون هو الحال بالنسبة لبعض هؤلاء المشتبه بهم على الأقل”. “إن كسر رابط واحد في دورتهم التنظيمية يمكن أن يسبب اضطرابات كبيرة، وإن كانت مؤقتة، لهذه المجموعات، حيث أن تحديد شركاء جدد وفحصهم والثقة بهم يمكن أن يمثل تحديًا في عالم الجريمة”.
وأوضح جودي أن كلا من LockerGoga وMegaCortex كانا من بين متغيرات برامج الفدية السابقة التي تم استخدامها بالفعل عندما بدأ النظام البيئي الإجرامي السيبراني في التحول بعيدًا عن عمليات برامج الفدية الموزعة على نطاق واسع إلى النشر بعد الاختراق على أساس مستهدف.
بالإضافة إلى ذلك، أشارت إلى أن بعض التكتيكات والتقنيات والإجراءات التي حددتها يوروبول تتماشى مع النشاط الذي نسبته مانديانت إلى ممثل تابع للمجموعة التي تم تتبعها باسم FIN6، والتي ارتبطت تاريخيًا بهجمات التجزئة Magecart، وغيرها من برامج الفدية رفيعة المستوى بما في ذلك Maze. وريوك – ومع ذلك، ونظراً لتعقيدات النظام البيئي للجريمة السيبرانية والطبيعة الصعبة للإسناد، لا يمكن التأكد من وجود صلة بين الاعتقالات الأخيرة.
