مكتب التحقيقات الفيدرالي يعثر على 7000 مفتاح فك تشفير LockBit في ضربة لعصابة إجرامية
كشف مكتب التحقيقات الفيدرالي (FBI) في الولايات المتحدة أنه يمتلك الآلاف من مفاتيح فك تشفير برامج الفدية LockBit، ويريد ضحايا العصابة الإجرامية السيبرانية الغزيرة الإنتاج – وضعت منخفضة في فبراير 2024 في حملة تقودها المملكة المتحدة – للتعريف بأنفسهم إذا كانوا يريدون المساعدة.
تحدث يوم الأربعاء 5 يونيو وفي مؤتمر للأمن السيبراني في بوسطن، ماساتشوستس، قال مساعد مدير قسم الإنترنت في مكتب التحقيقات الفيدرالي، بريان فورندران، إن الوكالة حريصة على استخدام مجموعة المفاتيح الموجودة لديها بشكل جيد، ودعا الضحايا الأمريكيين إلى الاتصال بمكتب التحقيقات الفيدرالي. يجب على الضحايا في أماكن أخرى الاتصال بالسلطات السيبرانية الوطنية الخاصة بهم، بما في ذلك المركز الوطني للأمن السيبراني (NCSC) في المملكة المتحدة.
وقال فورندران: “لدينا الآن أكثر من 7000 مفتاح فك تشفير ويمكننا مساعدة الضحايا على استعادة بياناتهم والعودة إلى الإنترنت”. “نحن نتواصل مع ضحايا LockBit المعروفين ونشجع أي شخص يشتبه في أنه ضحية لزيارة مركز شكاوى جرائم الإنترنت الخاص بنا على ic3.gov“.
تم تطويره بواسطة مواطن روسي يُدعى ديميتري خوروشيف، والذي تم التعامل معه عبر الإنترنت بما في ذلك LockBitsuppوNerowolfe وPutinkrab، وتم نشر LockBit من قبل العديد من الجهات الفاعلة في برامج الفدية كخدمة (RaaS) في أكثر من 2400 هجمة إلكترونية على مر السنين، لابتزاز مليارات الدولارات من الضحايا.
منذ أن تم التسلل إلى العملية وتعطيلها في فبراير/شباط، قامت السلطات بتحويل تكتيكات كوهوروشيف وأتباعه ضدهم، حيث قامت بتسميتهم وفضحهم، بل وحتى تصيدهم عبر الإنترنت.
“[Khoroshev] “يحتفظ بصورة المتسلل الغامض… لكنه في الواقع مجرم، عالق في بيروقراطية إدارة شركته أكثر من أي أنشطة سرية”، قال فورندران ساخرًا.
“حاول خوروشيف… أن يجعلنا نتساهل معه من خلال الانقلاب على منافسيه، وتسمية مشغلي برامج الفدية الأخرى كخدمة. لذا، فالأمر يشبه التعامل مع عصابات الجريمة المنظمة، حيث يتدحرج الرئيس ويطلب التساهل. لن نتساهل معه.”
راج ساماني، نائب الرئيس الأول وكبير العلماء في سريع7وعلق قائلاً: “اكتشاف وإطلاق سراح أكثر من 7000 LockBit تعد مفاتيح فك التشفير ضربة أخرى لمجموعة برامج الفدية وفوزًا كبيرًا لإنفاذ القانون. أمثال LockBit البقاء على قيد الحياة والازدهار على الضحايا الذين يدفعون طلبات الفدية، لذلك، من الرائع أن نرى حكومة الولايات المتحدة تكون استباقية وتمنع ذلك من خلال إطلاق مفاتيح فك التشفير مجانًا.
“منذ أن تم إسقاط تطبيق القانون LockBitالبنية التحتية لـ في فبراير 2024، فقد انخرطوا في العلاقات العامة والسيطرة على الأضرار لإظهار القوة والحفاظ على ثقة الشركات التابعة. ومع ذلك، فإن مثل هذه الإعلانات من قبل مكتب التحقيقات الفيدرالي تضر بهذه الثقة، ونأمل أن نرى قريبًا نهاية القضية LockBit وأضاف: “مجموعة برامج الفدية”.
تم الكشف عن تعاملات خوروشيف الإجرامية
خوروشيف، الذي أزعج ملاحديه ذات مرة عرض مكافأة قدرها 10 ملايين دولار إلى أي شخص يمكنه أن يتعرف عليه بنجاح ويكشف عن هويته الحقيقية، تم تسميته رسميًا لأول مرة بصفته العقل المدبر وراء LockBit، وانكشفت شخصيته في شهر مايو.
وفي الوقت نفسه، أعلنت السلطات الأمريكية عن فرض عقوبات عليه وإخضاعه لسلسلة من تجميد الأصول والمنع من السفر، واتهامه بـ 26 جريمة تتعلق بالاحتيال، وإتلاف أجهزة الكمبيوتر المحمية، والابتزاز.
ويعرض الأمريكيون مكافأة بملايين الدولارات لمن يدلي بمعلومات تؤدي إلى اعتقاله وتسليمه.
في حين أن بعض الأعضاء الأساسيين في طاقم LockBit هم في الحجزولكن من المؤسف أنه نظراً لانهيار العلاقات مع روسيا ـ حيث يسمح نظام بوتن لمجرمي الإنترنت مثل خوروشيف بالعمل مع الإفلات من العقاب ـ فمن غير المرجح أن تتم إدانته في أي وقت قريب ما لم يغادر روسيا.
تستمر هجمات LockBit
على الرغم من أن عملية إنفاذ القانون ضد LockBit تعتبر ناجحة على نطاق واسع وكان لها تأثير واضح على النظام البيئي لبرامج الفدية، إلا أن التعطيل الناجم لا يعني أن تهديد هجمات LockBit قد انحسر. وفي الواقع، تواصل الشركات التابعة للعملية بشكل عام شن هجمات سيبرانية متفرقة وأحيانًا رفيعة المستوى.
ومن بين الضحايا الذين تعرضوا للضرب منذ عملية الإزالة في فبراير، مستشفى Simone Veil في مدينة كان بفرنسا، وجامعة سيينا في إيطاليا، وسلسلة الصيدليات الكندية London Drugs.
وفي نهاية أبريل، وجد صائدو التهديدات في Proofpoint أدلة على أن خزانة LockBit 3.0 كانت مخبأة. يتم توزيعها على نطاق واسع كمرفق ضار لرسائل البريد الإلكتروني التصيدية المُنسقة من خلال شبكة Phorpiex الروبوتية.
استهدفت رسائل البريد الإلكتروني هذه، والتي نشأت من شخصية تدعى “جيني جرين”، مؤسسات في صناعات متعددة وبدت انتهازية إلى حد كبير في استهدافها.
قال فريق Proofpoint إن سلسلة الهجوم لم تكن معقدة بشكل خاص مقارنة بما يلاحظ عادة، ولكن الطبيعة الكبيرة لرسائل البريد الإلكتروني التصيدية، واستخدام برامج الفدية كحمولة المرحلة الأولى، كانت غير عادية إلى حد ما – مما يشير إلى أن من المحتمل أن تكون الحملة نتيجة لتسريب أداة إنشاء LockBit في عام 2022.