في ما يتحول إلى فترة مضطربة بالنسبة لمجرمي الإنترنت السريين، طاقم برنامج الفدية ALPHV/BlackCat قامت بإيقاف تشغيل البنية التحتية لخادمها في عملية إزالة فرضتها ذاتيًا على ما يبدو، وسط مزاعم بأن زعماء المجموعة قد سرقوا ملايين الدولارات من إحدى الشركات التابعة التي هاجمت مؤخرًا مقدم خدمات رعاية صحية أمريكي.
يبدو أن عملية الإزالة في البداية كانت نتيجة عملية إزالة منسقة من قبل وكالات إنفاذ القانون، ولكن وفقا ل رويترزالوكالة الوطنية لمكافحة الجريمة (NCA)، التي قادت عملية كرونوس، الإزالة الأخيرة لعملية LockBit، لم يحدث أي إجراء لإنفاذ القانون.
وزاد الطين بلة ظهور بيان يوم الأحد 3 مارس نُشر بلغة إنجليزية ركيكة في أحد المنتديات السرية الكبرى. من قبل شركة تابعة مفترضة لـ ALPHV/BlackCat.
ادعى الملصق أنهم كانوا يعملون مع ALPHV/BlackCat لفترة طويلة، وفي 1 مارس حصلوا على فدية بقيمة 22 مليون دولار من مينيابوليس، ومقرها مينيسوتا. المجموعة الصحية المتحدة، والد المصاب ببرامج الفدية تغيير الرعاية الصحية.
ومع ذلك، قالوا، بعد تلقي الدفع، قرر فريق ALPHV/BlackCat “تعليق حسابنا والاستمرار في الكذب والتأخير عندما اتصلنا بمسؤول ALPHV على Tox”.
وأضافوا: “لقد ظل يقول إنهم ينتظرون [sic] مدير الإدارة والمبرمج حتى اليوم أفرغوا المحفظة وأخذوا كل الأموال…. كونوا حذرين جميعًا وأوقفوا التعامل مع ALPHV.
وقال يوسي راتشمان: “من المهم التأكيد على أن هذه كلها مجرد تكهنات”. سمبيريس مدير البحوث الأمنية. “أوافق على أن الأمر يبدو غريبًا بعض الشيء، لأن ALPHV قد تخسر أعمالها بسببه. ثم مرة أخرى، إنها ليست شركة قائمة على الطوب وقذائف الهاون، لذا إذا قرروا سرقة الأموال والهروب، فيمكنهم بسهولة إنشاء مشروع تجاري جديد تحت اسم مختلف.
“بشكل عام، لا أحد خارج الدوائر الداخلية لـ ALPHV أو الشركة التابعة لها أو منظمة Change Healthcare مطلعة على هذه المعلومات حول من دفع أو لم يدفع. وأنت تعرف ماذا يقولون في صناعة الأمن السيبراني عن عدم وجود شرف بين اللصوص. لذا، لا شيء يفاجئني.”
WithSecure ردد كبير محللي استخبارات التهديدات ستيفن روبنسون مشاعر راتشمان بشأن أخذ أي شيء على محمل الجد. “أي بيان من مجرمي الإنترنت غير جدير بالثقة بطبيعته، ALPHV يبدو أنه قد توقف عن الاتصال بالإنترنت، لكننا لا نعرف السبب”.
“إن المطالبة المتعلقة بدفعات الشركات التابعة مثيرة للاهتمام نوعًا ما، ولكنها غير جديرة بالثقة بالمثل. لكي تعمل عملية RaaS، يجب على الشركات التابعة والمجموعة الأساسية أن تثق ببعضها البعض، لذا فإن “السرقة” أو حجب الدفع عن الشركة التابعة سيكون أمرًا غير عادي للغاية. ومع ذلك، غالبًا ما يبذل مجرمو الإنترنت جهودًا للبقاء بعيدًا عن رادار سلطات إنفاذ القانون، وتجنب ارتكاب هجمات سيكون لها تأثيرات حقيقية تؤدي إلى تركيز اهتمام سلطات إنفاذ القانون الدولية.
“من الممكن ذلك ALPHV “نحن على وشك تغيير علامتنا التجارية تحت اسم مختلف لتجنب اهتمام سلطات إنفاذ القانون، ولكن هذه مجرد تكهنات.”
وهذا من شأنه أن يتحدث عن جذور ALPHV/BlackCat – وهو أمر تخميني بالمثل بالنسبة للجزء الأكبر – في عملية DarkSide التي هاجمت خط أنابيب كولونيال في عام 2021.
أدى هذا الهجوم، الذي أحدث تأثيرًا حقيقيًا وتعطيلًا لإمدادات الوقود عبر مساحة كبيرة من الولايات المتحدة، إلى جلب قضية برامج الفدية إلى الاهتمام العالمي السائد وأدى إلى تغييرات كبيرة في السياسة الغربية.
كما أسفر ذلك عن عملية منسقة لإنفاذ القانون ضد العصابة التي استردت نسبة كبيرة من الفدية التي دفعتها شركة Colonial Pipeline.
ولا راحة للضحايا
إن استيلاء العصابة المزعوم على المبلغ الذي يفترض أن شركة “تشينج هيلثكير” قامت بدفعه – والتي لم يؤكد أحد والديها ما إذا كانت قد دفعت أي فدية أم لا – لن يكون بمثابة راحة كبيرة لمنظمة واجهت – أو لا تزال تواجه – قرارا مؤلما.
قال جون ميلر، المدير التنفيذي: “على الرغم من أنه قد يكون من ضمن الرغبة في المخاطرة لشركة ترفيه مثل MGM أن ترفض طلب فدية على الرغم من أن التوقف يكلف إيرادات الشركة، إلا أن قرار عدم دفع فدية لن يعرض حياة أي شخص للخطر على الأرجح”. – المؤسس والرئيس التنفيذي لمنصة مكافحة برامج الفدية هالسيون.
“ولكن ماذا عن مقدم الرعاية الصحية مثل Change Health الذي يحتاج بشكل عاجل إلى الوصول إلى الأنظمة لأن أي تأخير قد يشكل خطراً على حياة الإنسان؟ وفي هذه الحالات، يكون القرار بشأن دفع طلب الفدية أكثر تعقيدًا بشكل كبير.
يتحدث الى النقاش المتجدد حول ما إذا كان ينبغي جعل دفع طلبات الفدية غير قانوني أم لا، اعترف ميلر بكلا جانبي القضية، قائلاً إن الدفع بسرعة يمكن أن يكون في بعض الأحيان أسرع طريقة لاستعادة العمليات، على الرغم من وجود بعض المخاطر، ولكن من الواضح أن القيام بذلك يشجع المزيد من الهجمات أسفل الخط.
بالنسبة لمؤسسات الرعاية الصحية، سواء في النظام الخاص في الولايات المتحدة أو هيئة الخدمات الصحية الوطنية في المملكة المتحدة، فإن الاختيار أكثر وضوحا.
وقال ميلر: “تؤثر هجمات برامج الفدية ضد نظام الرعاية الصحية بشكل متزايد على قدرة المؤسسة على رعاية المرضى، وقد وجدت بعض الدراسات بالفعل صلة مباشرة بين هجمات برامج الفدية وزيادة معدل وفيات المرضى”.
“وجدت إحدى الدراسات أن 68% قالوا إن هجمات برامج الفدية أدت إلى تعطيل رعاية المرضى، وقال 43% إن تسرب البيانات أثناء الهجوم أثر سلبًا أيضًا على رعاية المرضى، حيث أشار 46% إلى زيادة معدلات الوفيات، ولاحظ 38% المزيد من التعقيدات في الإجراءات الطبية بعد الهجوم. أضاف.
ومع ذلك، أضاف أن الجدل حول حظر دفع الفدية لا يعالج حقًا السبب الجذري للمشكلة، وهو ضعف أنظمة تكنولوجيا المعلومات الخاصة بالضحية في المقام الأول.
وقال: “إذا تمكنا من منع نجاح هذه الهجمات، فإن النقاش حول دفع الفدية يصبح موضع نقاش”.
