أدت عملية متعددة الجنسيات بقيادة الولايات المتحدة إلى تعطيل عمليات ALPHV/BlackCat برامج الفدية كخدمة (RaaS)، في نهاية ما يقرب من أسبوعين من التكهنات حول مصير عملية الابتزاز السيبراني سيئة السمعة، ولكن في الوقت نفسه تسبب المزيد من عدم اليقين مع تحرك أعضاء العصابة لتقليل التأثير.
أثارت فترة التوقف الطويلة لعملية BlackCat في وقت سابق من شهر ديسمبر تكهنات عبر مجتمع أبحاث الأمن السيبراني بأن العصابة الإجرامية قد تم تعطيلها أو القضاء عليها من قبل وكالات إنفاذ القانون.
موقع التسريب المعتمد على Tor الخاص بالعصابة أصبح الوصول إليها غير ممكن لأول مرة يوم الخميس 7 ديسمبر واستمر انقطاع التيار الكهربائي لعدة أيام، على الرغم من عدم إصدار أي وكالة لإنفاذ القانون أي بيان بشأن الإجراء المتخذ ضد العصابة لأكثر من أسبوع، والتي أكدت أن كانت تواجه مشاكل فنية.
وفقًا لإشعار الإزالة الذي حل في البداية محل موقع التسريب الخاص بالعصابة، فإن العملية ضد BlackCat شملت وكالات من جميع أنحاء العالم، بما في ذلك أستراليا والنمسا والدنمارك وألمانيا وإسبانيا وسويسرا والوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA).
وفي الوقت نفسه، قام خبراء التكنولوجيا في مكتب التحقيقات الفيدرالي (FBI) بتطوير أداة فك تشفير لخزانة برامج الفدية الخاصة بالعصابة، والتي تم توزيعها الآن على أكثر من 500 ضحية متأثرة. ووفقاً لوزارة العدل الأمريكية، فمن المحتمل أن يكون هذا قد وفر حوالي 68 مليون دولار من مدفوعات الفدية بالفعل.
وقالت نائبة المدعي العام الأمريكي ليزا موناكو: “من خلال تعطيل مجموعة BlackCat لبرامج الفدية، قامت وزارة العدل مرة أخرى باختراق المتسللين”.
“بفضل أداة فك التشفير التي قدمها مكتب التحقيقات الفيدرالي لمئات من ضحايا برامج الفدية في جميع أنحاء العالم، تمكنت الشركات والمدارس من إعادة فتح أبوابها، وتمكنت خدمات الرعاية الصحية والطوارئ من العودة إلى الإنترنت. سنواصل إعطاء الأولوية للاضطرابات ووضع الضحايا في قلب استراتيجيتنا لتفكيك النظام البيئي الذي يغذي الجريمة السيبرانية.
فوز إنفاذ القانون
وقال تشارلز كارماكال، كبير مسؤولي التكنولوجيا في شركة Mandiant Consulting في Google Cloud: “يعد هذا فوزًا كبيرًا لإنفاذ القانون والمجتمع. كان ALPHV أحد أكثر برامج برامج الفدية كخدمة نشاطًا وقد عمل مع كل من الشركات التابعة الروسية والشركات الغربية الناطقة باللغة الإنجليزية.
“هذا الإجراء الذي اتخذته سلطات إنفاذ القانون يبعث برسالة قوية جدًا إلى الشركات التابعة لـ ALPHV والجهات الفاعلة الأخرى في مجال التهديد. نتوقع استمرار إجراءات إنفاذ القانون وتحقيق الانتصارات طوال عام 2024”.
هل لدى BlackCat تسعة أرواح؟
ومع ذلك، كما لاحظ كارماكال، فإن التعطيل الذي أصاب عمليات الكارتل قد لا يمتد بعد إلى جميع التجمعات التابعة له – تلك اللاعبين الأصغر الذين باع لهم الأعضاء الأساسيون خزانة بلاك كات في مقابل جزء من الأرباح.
“لا تزال بعض الشركات التابعة لـ ALPHV نشطة، بما في ذلك UNC3944 [Scattered Spider/Octo Tempest – the operation behind the September 2023 Las Vegas casino heists]،” هو قال.
قال كارماكال: “نتوقع أن تستمر بعض الشركات التابعة في تدخلاتها كالمعتاد، لكن من المرجح أن تحاول إقامة علاقات مع برامج RaaS الأخرى للتشفير والابتزاز ودعم فضح الضحايا”.
باحثون من وحدة مكافحة التهديدات Secureworks وذهبت (CTU) إلى أبعد من ذلك، بعد أن كشفت عن أدلة تشير إلى أنه خلال الأسبوعين الماضيين منذ بدء الاضطراب، عرض العديد من مشغلي RaaS الآخرين نشر البيانات المسروقة نيابة عن الشركات التابعة لشركة BlackCat.
في إحدى الحالات، قال فريق CTU، إن البيانات المسروقة في هجوم BlackCat الذي وقع قبل 7 ديسمبر تم تسليمها إلى طاقم برنامج الفدية التابع لشركة INC لنشرها على موقع التسريب الخاص بهم.
غير المستغلة
والأمر الأكثر إثارة للقلق، كما قال فريق CTU، هو أنه بعد عدة ساعات من نشر إشعار الإزالة الرسمي، ردت شركة BlackCat – التي تتبعها باسم Gold Blazer – بإشعار خاص بها على نفس الموقع، قائلة إنه “لم يتم الاستيلاء عليها”، مما يشير إلى أنها تحتفظ بملكية خاصة المفتاح المطلوب لاستضافة الخدمة على شبكة Tor. كان هذا الإعلان مرئيًا لأن شبكة Tor توجه العملاء إلى الخدمة التي “أعلنت” عن نفسها مؤخرًا.
أعاد الإشعار توجيه الزوار إلى موقع مدونة جديد وإعلان باللغة الروسية يعترف بعملية إنفاذ القانون ويهدد بالانتقام.
وفي بيان العصابة، الذي ترجمته شركة Secureworks باستخدام الخدمات الآلية، قالت العصابة إن مكتب التحقيقات الفيدرالي تمكن من الوصول إلى أحد مراكز البيانات الخاصة بها، ربما عن طريق اختراق أحد مضيفيها أو التعاون معه.
كحد أقصى، كما زعمت BlackCat، يمتلك مكتب التحقيقات الفيدرالي مفاتيح فك التشفير لـ 400 ضحية يعود تاريخها إلى أوائل نوفمبر، ولكن بسبب هذا، كما قالت، فإن أكثر من 3000 ضحية “لن يتلقوا مفاتيحهم أبدًا”.
ونتيجة لذلك، هدد المجرمون، فقد أزالت جميع القواعد التي تملي الأهداف التي قد تهاجمها الشركات التابعة لها، باستثناء تلك الموجودة في الاتحاد السوفييتي السابق، ولن تقدم خصومات للضحايا الذين يتفاوضون.
وقالت شركة Secureworks إنه اعتبارًا من يوم الثلاثاء 19 ديسمبر/كانون الأول، تم إرسال خمسة ضحايا إلى موقع التسرب الجديد.
