بعد أسبوع من انقطاع الاتصال بالإنترنت في عملية مشتركة متعددة الجنسيات لإنفاذ القانون بقيادة وكالة الجريمة الوطنية في المملكة المتحدة، عاد المشغل الرئيسي، أو شخص يدعي أنه المشغل الرئيسي، لـ LockBit إلى الظهور، مما استهزأ بوكالات إنفاذ القانون وأنشأ بنية تحتية جديدة وموقع تسرب جديد يحتوي بالفعل على تفاصيل خمسة ضحايا مزعومين.
تم إخفاء LockBit في 19 فبراير في عملية Cronos، وهي عملية استهدفت البنية التحتية لخادم العصابة الغزيرة، وسيطرت على البيانات بما في ذلك الكود المصدري وأدوات فك التشفير وبيانات الضحايا، وتم الاستيلاء على أصول العملات المشفرة وتجميدها. وأسفرت عن اعتقال شخصين في بولندا وأوكرانيا.
ومع ذلك، في رسالة مطولة، موقعة باسم LockBit، رفض زعيم العصابة المفترض الجزء الأكبر من الادعاءات التي قدمتها الوكالات التي شاركت في عملية كرونوس، على الرغم من أنهم أكدوا أن وكالة الجريمة الوطنية وشركائها – الذين يشيرون إليهم طوال الوقت باسم مكتب التحقيقات الفيدرالي (FBI) – الوصول إلى البنية التحتية للخادم الخاص بهم عبر ثغرة PHP غير مُصححة.
ادعى LockBit أنهم بدأوا في ملاحظة المشاكل في وقت مبكر من صباح يوم 19 فبراير، ولكن بعد إعادة تشغيل PHP عادت الأمور إلى طبيعتها. “لم أهتم به كثيرًا، لأنه لمدة 5 سنوات [sic] وكتبوا: “من السباحة في المال أصبحت كسولًا جدًا”.
واصلت LockBit استهزاء الشرطة، مشيرة إلى أن قراصنة NCA وFBI الذين استهدفوها قد يكسبون المزيد من المال من العمل في عالم برامج الفدية، وتصدت للعديد من الادعاءات التي تم تقديمها في أعقاب عملية الإزالة، بما في ذلك التشكيك في هويات بعض من أولئك الذين تم القبض عليهم، والذين في نسخة LockBit من السرد لم يكونوا أكثر من مجرد غاسلي أموال على مستوى منخفض.
كما رفضوا تمامًا حجم الانتهاك الذي تعرضوا له، زاعمين أن السلطات لا تمتلك فعليًا قاعدة البيانات الكاملة لخزانتها، من بين أشياء أخرى.
تتكهن الرسالة أيضًا بأن عملية الإزالة كانت مدفوعة بهجوم LockBit الأخير على أنظمة تكنولوجيا المعلومات في مقاطعة فولتون في جورجيا – أتلانتا – والذي سرق منه معلومات حول القضايا القانونية المرفوعة ضد الرئيس السابق دونالد ترامب والتي تعتقد LockBit أنها يمكن أن تؤدي إلى نتيجة انتخابات الولايات المتحدة عام 2024. الانتخابات الرئاسية.
وأضافت LockBit: “أنا شخصياً سأصوت لصالح ترامب”. على الرغم من أنهم بالتأكيد ليسوا مواطنين أمريكيين، إلا أن هذا يبدو غير مرجح.
“تهدف جميع إجراءات مكتب التحقيقات الفيدرالي إلى تدمير سمعة برنامجي التابع، وإحباط معنوياتي، يريدون مني أن أترك وظيفتي، ويريدون إخافتي لأنهم لا يستطيعون العثور علي والتخلص مني، ولا يمكن إيقافي”. قال.
“أنا سعيد جدًا لأن مكتب التحقيقات الفيدرالي شجعني ونشطني وجعلني أبتعد عن الترفيه وإنفاق المال”.
الراوي لا يمكن الاعتماد عليها
من المهم أن نتذكر أنه بصفته مشغل برامج فدية إجرامية عبر الإنترنت، فإن رسالة LockBit لم تكن مدفوعة بالرغبة في وضع الأمور في نصابها الصحيح بأي معنى واقعي للمصطلح. نظرًا لأن LockBit كان بالفعل في حالة تراجع كعمليةوعلى الرغم من استمرارها في شن هجمات إلكترونية ضارة، فإن الرسائل المتعلقة بعودة ظهورها يجب في الواقع أن تُقرأ في هذا السياق.
وقال: “الغرض من الرسالة ليس إيصال الحقيقة، ولكن المشاركة في العلاقات العامة والسيطرة على الضرر الذي يلحق بسمعة علامة LockBit التجارية كاستعراض للقوة”. WithSecure كبير محللي التهديدات ستيفن روبنسون.
“لقد كانت هذه عملية إزالة شاملة للغاية استهدفت الأصول التي تمثل القوة الحقيقية لبرامج الفدية كخدمة [RaaS] العلامات التجارية مثل LockBit – العلامة التجارية نفسها والشركات التابعة التي تنفذ العمليات والأصول المالية للمجموعة.
“تم تنسيق الأحداث السيبرانية مع عمليات رفيعة المستوى لوكالات إنفاذ القانون في العالم الحقيقي (LEA) للقبض على الأفراد المرتبطين بـ LockBit. تم استخدام الموقع الذي تم الاستيلاء عليه من قبل وكالات إنفاذ القانون لإرسال رسالة تحذير مباشرة إلى الشركات التابعة. وأضاف: “تم استخدام موقع تسرب LockBit والعلامة التجارية من قبل LEAs للسخرية التامة وتشويه سمعة LockBit والشركات التابعة لها، وقد ذكرت LEAs أنها استولت على أكثر من 200 محفظة عملات مشفرة، وأكثر من 1000 مفتاح فك تشفير”.
تطور متوقع
سمبيريس وقال دان لاتيمر، نائب الرئيس للمملكة المتحدة وإيرلندا، إنه لم يكن متفاجئًا على الإطلاق من عودة LockBit إلى الظهور بسرعة.
“لقد سرقت مجموعة الجرائم الإلكترونية هذه أكثر من 100 مليون دولار من مدفوعات الفدية في العام الماضي وحده؛ وقال: “لم يكونوا ليذهبوا بهدوء في مهب الريح بعد أن تعرضوا للحرج من قبل مجموعة من وكالات إنفاذ القانون العالمية”.
“بشكل عام، فإن القتال بين المدافعين والخصوم هو معركة على مدار الساعة، ولم تكن سوى مسألة وقت قبل أن تعود المجموعة إلى الظهور بالكامل أو ينضم أعضاؤها إلى مجموعات برامج الفدية الأخرى.
“كنت أحذر عملاء Semperis وشركائها الأسبوع الماضي من ألا يغيب عن بالهم حقيقة أن LockBit سوف تعود إلى الظهور وأن يكون لديهم دائمًا عقلية الاختراق المفترضة. قال لاتيمر: “لا يمكنك أبدًا أن تتخلى عن حذرك ضد الجهات التي تشكل تهديدًا، كما أن بناء المرونة التشغيلية، بما في ذلك خطة النسخ الاحتياطي والاسترداد أمر حيوي لحماية الأصول المهمة لموظفيك وعملائك وشركائك”.
روبيريك وأضاف ريتشارد كاسيدي، كبير مسؤولي أمن المعلومات في منطقة أوروبا والشرق الأوسط وأفريقيا: “يجب على المرء أن يتساءل عما إذا كانت الموارد المالية لمجموعات مثل قفل، هي أوسع نطاقًا إلى حد ما من فرق إنفاذ القانون المكلفة بتعطيلها. قفل يتم تمويلها بشكل جيد للغاية من خلال نجاح عملياتها، حيث جمعت حوالي 91 مليون دولار من المنظمات الأمريكية وحدها، وبالتالي لديها القدرة الاقتصادية على إعادة تجميع صفوفها وتطوير تكتيكات وتقنيات وإجراءات جديدة، والتعلم والتكيف من الأخطاء التي أدت إلى تعطيلها. ، وبالتالي إعادة اختراع نهجهم، حسب الضرورة.
“إن هذه الطبيعة الدورية لتعطيل تطبيق القانون وعودة ظهور مجموعات برامج الفدية هذه تشير إلى مشكلة أوسع داخل النظام البيئي للجرائم الإلكترونية. تكمن المشكلة بشكل أساسي في الدوافع الكامنة وراء هجمات برامج الفدية، مثل الحوافز المالية، وعدم الكشف عن الهوية النسبية لمعاملات العملات المشفرة، والاكتشاف المستمر لنقاط الضعف التي لا تزال دون معالجة.
وقال كاسيدي: “حتى ذلك الحين يمكننا أن نتوقع استمرار دورة الشطف والتكرار من الاضطراب والتجدد في المستقبل المنظور”.
