بلغت مدفوعات برامج الفدية أ رقم قياسي في عام 2023لكن تطبيق القانون يقاوم. قادت الولايات المتحدة والمملكة المتحدة عملية دولية أدت إلى تعطيل LockBit. تعد مجموعة برامج الفدية كخدمة واحدة من أكبر الأسماء في برامج الفدية. في العام الماضي، ضرب ضحايا مثل ICBC للخدمات المالية, CDW، و شركة تايوان لتصنيع أشباه الموصلات (TSMC). لقد استغلت المجموعة أكثر من 2000 ضحية وحصلت على أكثر من 120 مليون دولار من دفع الفدية، وفقًا لوزارة العدل الأمريكية.
ماذا تعني عملية إنفاذ القانون هذه لمستقبل LockBit وللمعركة المستمرة ضد برامج الفدية؟
العملية
إذا قمت بزيارة موقع LockBit الخاص بتسريب البيانات، فسيتم الترحيب بك برسالة تفيد بأن الموقع تحت سيطرة سلطات إنفاذ القانون. يستضيف موقع التسريب العام الخاص بـ LockBit الآن أيضًا معلومات حول عمليات المجموعة. وكان الاستيلاء على الموقع مجرد جزء من العملية الدولية.
اجتمع مكتب التحقيقات الفيدرالي (FBI) والوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) وشركاء في تسع دول أخرى معًا لإنشاء عملية كرونوس. وكجزء من تلك العملية، قام مكتب التحقيقات الفيدرالي اختراق خوادم LockBit باستخدام استغلال PHP، وفقًا لـ BleepingComputer.
يوضح ريتشارد كاسيدي، كبير مسؤولي أمن المعلومات الميداني في شركة أمن البيانات: “كانوا يستخدمون لغة PHP، ونتيجة لذلك… أدى ذلك إلى سلسلة كاملة من عمليات الاستحواذ وحملات الاستطلاع”. روبيريك.
بالإضافة إلى الاستيلاء على مواقع الويب والخوادم العامة التي يستخدمها المسؤولون، تمكن الشركاء الدوليون من تطوير أدوات فك التشفير لضحايا LockBit. وأسفرت فرقة عمل عملية Cronos أيضًا عن تجميد أكثر من 200 حساب عملة مشفرة مرتبط بـ LockBit، وفقًا لـ NCA.
يقول فرحات ديكبيك، دكتوراه، رئيس قسم الأبحاث والاستخبارات في جامعة ستانفورد: “إنه أمر احترافي للغاية، وهذا مختلف عما رأيناه من قبل”. طائرة ورقية سوداء، شركة برامج وحلول لإدارة المخاطر تابعة لجهة خارجية.
نشرت سلطات إنفاذ القانون أسماء الشركات التابعة لشركة LockBit، مما يضع ضغطًا إضافيًا على المجموعة. “ربما أصيبت الشركات التابعة بالفزع بسبب أسمائها [are] يقول Dikbiyik.
وأدت عملية كرونوس أيضًا إلى تحديد هوية الأفراد المتورطين في المجموعة وتوجيه الاتهام إليهم. وقال المدعي العام ميريك بي جارلاند في بيان: “لقد اتهمنا الآن ما مجموعه خمسة من شركاء LockBit، ولا يزال تحقيقنا مستمرًا”. بيان حول العملية. شاركت NCA أن يوروبول، وكالة إنفاذ القانون في الاتحاد الأوروبي، قامت بتنسيق الإجراءات لاعتقال اثنين من ممثلي LockBit في بولندا وأوكرانيا.
التأثير
لقد أثبتت مجموعات المجرمين السيبرانيين قدرتها على التكيف في الماضي. كيف يمكن أن تؤثر هذه العملية على LockBit وقدرته على مواصلة العمليات؟
وعلى المدى القريب، فإن استيلاء سلطات إنفاذ القانون على جزء كبير من بنيتها التحتية وإطلاق أدوات فك التشفير يعيق قدرة المجموعة على العمل وابتزاز الضحايا للحصول على فدية.
من الممكن أن يحاول الأفراد المشاركون في LockBit إعادة التنظيم تحت نفس الاسم أو اسم مختلف. ومن الممكن أيضًا أن يسعوا إلى الانتقام بعد تعطيل العمليات، وفقًا لما ذكره يوسي راتشمان، كبير مديري الأبحاث في المركز. سمبيريس، منصة أمان واسترداد للدليل النشط.
ويقول: “بعد الصدمة الأولية، من المحتمل أن يحاولوا إعادة تجميع صفوفهم ومحاولة الرد إما تحت الاسم نفسه أو تحت أسماء أخرى”.
أصدرت تريند مايكرو بحثًا بالتنسيق مع NCA، يُشار إلى أن LockBit تعمل على تطوير إصدار جديد من برامج التشفير الضارة الخاصة بها. تقوم Trend Micro بتتبع المتغير باسم LockBit-NG-Dev.
ماذا سيكون التأثير على المدى الطويل؟ يقول ماثيو كوروين، المدير الإداري لشركة استشارات: “سيعتمد الأمر على عدة عوامل مختلفة، بما في ذلك مرونة بنيتهم التحتية، وقدرة قيادتهم على إعادة تجميع صفوفهم، وفعالية تطبيق القانون الذي يحتمل أن يتعقب هؤلاء الأفراد ومحاكمتهم”. حلول الدليل.
ويتوقع ديكبيك أنه سيكون من الصعب على LockBit التعافي. ويقول: “قد يتم تفكيكهم إلى مجموعات أصغر من برامج الفدية”. “لقد شهدنا ذلك في مجموعة Conti Ransomware.”
مسرحيات القوة المحتملة
ويبقى أن نرى ما إذا كان LockBit سيكون قادرًا على إعادة تجميع صفوفه، أو أن لاعبيه سيتفرقون. في أعقاب إجراء إنفاذ القانون هذا، قد تدخل مجموعات برامج الفدية الأخرى في فترة هدوء مؤقتة، لتحديد مخاطر التعرض للخطر. ولكن من المرجح أن يكون أي هدوء في النشاط قصير الأجل. يقول راشمان: “بمجرد أن يهدأ الغبار، سيحاولون ملء فراغ LockBit في أقرب وقت ممكن”.
ALPHV/Blackcat هي مجموعة نشطة أخرى من برامج الفدية. وفي عام 2023، قدم مكتب التحقيقات الفيدرالي أداة فك التشفير لأكثر من 500 من ضحايا المجموعة كجزء من عملية حملة التعطيل. ويستمر تطبيق القانون في ملاحقة هذه المجموعة. وزارة الخارجية الأمريكية هي عرض ما يصل إلى 10 مليون دولار للحصول على معلومات تؤدي إلى قادة المجموعة.
Clop، عصابة برامج الفدية التي تقف وراء خرق MOVEit، هو مرشح محتمل لملء الفجوة التي خلفتها LockBit. يقول ديكبيك: “هناك بعض اللاعبين الآخرين الذين يتسلقون التصنيف: أكيرا، بلاي، ريسيدا”. “هناك مرشحون آخرون، لكنني لا أعتقد أن أيًا منهم لديه الموارد الكافية ليكون بحجم LockBit.”
المعركة المستمرة
الضربة التي وجهتها سلطات إنفاذ القانون إلى LockBit هي التقدم في المعركة ضد برامج الفدية. “إذا كانت سلطات إنفاذ القانون قادرة على الحفاظ على هذا النوع من الاستجابة ومن ثم تقليل مقدار الوقت الذي يتمكن فيه المجرمون من العمل بشكل مربح، وبالتالي زيادة وتيرة هذا النوع من العمليات وتوسيع نطاق هذه الأنواع من العمليات، فسوف يؤثر ذلك في النهاية على الحجم وحتى يقول كوروين: “إن قدرة هذه المجموعات على البقاء… من خلال التأثير على نموذجها المالي”.
في حين أن قادة المؤسسات قد يتنفسون الصعداء بعد تعطيل LockBit، إلا أن خطر برامج الفدية لا يزال قائمًا إلى حد كبير. قد يعيد لاعبو LockBit تجميع صفوفهم. يمكن للشركات التابعة جلب مهاراتهم إلى مجموعات أخرى. يمكن لمجموعات برامج الفدية المختلفة تكثيف نشاطها. ومع استمرار وكالات إنفاذ القانون في التعلم والاستفادة من التقنيات الأكثر تطورًا ضد مجموعات برامج الفدية، فإن الجهات الفاعلة في مجال التهديد ستعزز لعبتها أيضًا.
“عندما يتم القبض على مجموعة مثل هذه بهذه الطريقة، فهذا يعني أن المجموعات الأخرى سوف تبحث عن طرق للتحايل على هذه الأنواع من تقنيات التسلل من قبل الوكالات، وسوف يصبحون أكثر ذكاءً وأكثر شراسة في أعمالهم. الأنشطة،” يحذر كاسيدي.
بالإضافة إلى المجموعات ذات الدوافع المالية مثل LockBit، هناك جهات تهديد ترعاها الدولة والتي ستستخدم هجمات برامج الفدية ضد ضحاياها. يقول راشمان: “ستستمر تلك الكائنات في الوجود، بل وأكثر من ذلك مع كل ما يحدث الآن في الوضع الجيوسياسي”.
في هذا المشهد، ستحتاج الشركات وفرقها الأمنية إلى البقاء يقظين. إن معرفة التكتيكات والتقنيات والإجراءات الشائعة (TTPs) التي تستفيد منها مجموعات برامج الفدية والفهم العميق لنقاط الضعف في المؤسسة أمر حيوي.
“كيف يمكن [enterprises] مراقبة نشطة للإشارة إلى هذا النوع من TPPs في شبكاتهم، وفي أنظمة المعلومات الخاصة بهم، وكيف [are they] سوف تكون قادرة على الرد على ذلك؟ ” يسأل كوروين. المرونة السيبرانية وهو مفهوم مهم يجب تبنيه في مواجهة هجمات برامج الفدية المستمرة.
وشدد المدعي العام جارلاند على الدور المهم الذي يلعبه ضحايا برامج الفدية في الإجراءات المتخذة ضد مجموعات مثل LockBit. وقال في تصريحاته: “إن إجراءات مثل ما حدث اليوم لن تكون ممكنة دون إبلاغ الضحايا عن هجمات برامج الفدية الخاصة بهم إلى سلطات إنفاذ القانون”.
