الوكالة الوطنية لمكافحة الجريمة (NCA)، إلى جانب الوكالات العالمية الشريكة التي شاركت فيها عملية كرونوسقامت العملية ضد عصابة LockBit Ransomware، بتسمية قائد الطاقم والمسؤول والمطور الرئيسي LockBitSupp رسميًا، باسم Dmitry Koroshev.
خوروشيف، الذي قام بمضايقة ملاحديه في وقت ما عرض مكافأة قدرها 10 ملايين دولار أي شخص يتمكن من الكشف عن هويته الحقيقية بنجاح، سيخضع لسلسلة من تجميد الأصول وحظر السفر، وقد تم اليوم أيضًا اتهم في الولايات المتحدة مع 26 جريمة تتعلق بالاحتيال وإتلاف أجهزة الكمبيوتر المحمية والابتزاز. كما تعرض السلطات الأمريكية مكافأة بملايين الدولارات لمن يدلي بمعلومات قد تؤدي إلى اعتقاله وتسليمه.
“إن هذه العقوبات ذات أهمية كبيرة وتظهر أنه لا يوجد مكان للاختباء لمجرمي الإنترنت مثل ديمتري خوروشيف، الذين يعيثون فساداً في جميع أنحاء العالم. قال مدير NCA غرايم بيغار: “كان متأكداً من أنه يمكن أن يبقى مجهولاً، لكنه كان مخطئاً”.
“نحن نعلم أن عملنا لتعطيل LockBit حتى الآن كان ناجحًا للغاية في إضعاف قدراتهم ومصداقيتهم بين المجتمع الإجرامي. وقد أدت محاولة المجموعة لإعادة البناء إلى إنشاء مؤسسة أقل تعقيدًا بكثير وتأثيرها أقل بشكل كبير.
“يضع إعلان اليوم مسمارًا كبيرًا آخر في نعش LockBit ولا يزال تحقيقنا بشأنها مستمرًا. وقال بيغار: “نحن الآن نستهدف أيضًا الشركات التابعة التي استخدمت خدمات LockBit لشن هجمات مدمرة ببرامج الفدية على المدارس والمستشفيات والشركات الكبرى حول العالم”.
وأضاف: “بالعمل مع شركائنا الدوليين، سنستخدم جميع الأدوات المتاحة لنا لاستهداف مجموعات أخرى مثل LockBit، وكشف قيادتها وتقويض عملياتها لحماية الجمهور”.
العملية ضد عصابة LockBit Ransomware سيئة السمعة، Operation Cronos، تم الكشف عنه في 19 فبراير 2024 في عملية قادتها NCA شهدت تسلل الوكالة إلى شبكتها والاستيلاء على خدماتها، بما في ذلك موقع تسريب الويب المظلم الخاص بها.
قالت NCA اليوم إن عملية برامج الفدية كخدمة نفذت أكثر من 7000 هجوم سيبراني بين يونيو 2022 وفبراير 2025، مع الضحايا بما في ذلك أكثر من 100 مستشفى ومنظمة رعاية صحية، وإجبار ما لا يقل عن 2110 ضحايا على درجة معينة من التفاوض.
من بين 194 شركة تابعة تم تحديدها على أنها تستخدم خدمات LockBit حتى فبراير 2024، انخفض هذا العدد الآن إلى 69 بينما تكافح المجموعة من أجل إعادة البناء. ومن بين تلك الشركات التابعة النشطة، شنت 148 شركة هجمات وشاركت 119 شركة في مفاوضات مع الضحايا، على الرغم من أن ما يصل إلى 114 شركة تابعة، والتي كانت ستدفع الآلاف للانضمام إلى برنامج LockBit، لم تحصل في الواقع على أي أموال من أعمالها الإجرامية.
وأضافت أيضًا أنها وجدت عدة حالات لم يعمل فيها برنامج فك التشفير الذي قدمته LockBit للضحايا الذين دفعوا، والعديد من الحالات الأخرى حيث فشلت LockBit في الوفاء بوعدها بحذف البيانات المسروقة بمجرد الدفع.
وقالت وكالة NCA إنها تمتلك الآن أكثر من 2500 مفتاح فك تشفير، وأنها تواصل الاتصال بضحايا LockBit لتقديم الدعم. وقد حددت حتى الآن 240 ضحية في المملكة المتحدة واتصلت بهم.
إعادة بناء LockBit لا تسير على ما يرام
وفي الوقت نفسه، يبدو أن محاولة المجموعة لإعادة البناء خلال الشهرين الماضيين تسير بشكل سيئ، حيث لا تزال العصابة تعمل بقدرة محدودة، ويتم استخدام موقع التسريب الجديد الخاص بها لنشر الضحايا الذين تعرضوا للهجوم قبل الإزالة، فضلاً عن محاولة الحصول على الفضل. لجرائم الآخرين.
تشير أحدث بيانات وكالة الجريمة الوطنية (NCA) إلى أن عدد هجمات LockBit الشهرية في المملكة المتحدة قد انخفض بنسبة 73% منذ أواخر فبراير، وأن تلك الهجمات التي تحدث يتم تنفيذها من قبل جهات فاعلة أقل تطورًا ولها تأثير أقل بكثير.
“منذ أن اتخذت عملية كرونوس إجراءات تخريبية، LockBit وقال دون سميث، نائب رئيس شركة وحدة مكافحة التهديدات في SecureWorks.
“كان العنصر النفسي للإجراء الذي اتخذته سلطات إنفاذ القانون فعالاً للغاية، ولم تكن جهود المجموعة لاستعادة سمعتها السابقة تسير بشكل جيد بشكل خاص. تم الكشف اليوم عن ديمتري خوروشيف المعروف أيضًا باسم LockBit Supp، يوضح قدرة سلطات إنفاذ القانون على حرمان مجرمي الإنترنت من غطاء الأمان المتمثل في عدم الكشف عن هويتهم وتعريضهم لخطر الاعتقال والمحاكمة إذا سافروا إلى بلدانهم الأصلية.
