قامت الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) بتسمية شخصية بارزة وفضحها LockBit التابعة لها مع استمرار إجراءات الإزالة المستمرة لعملية Cronos ضد العصابة سيئة السمعة، مما يكشف عن علاقة مع شركة الشر منظمة الجريمة السيبرانية التي اشتبه بها البعض، ولكن لم يتم تأكيدها بنجاح حتى الآن.
بعد أن أمضت شهورًا في البحث عن كنز من المعلومات التي وصلت إلى يديها في فبراير عندما بدأت عملية كرونوس، أكدت NCA اليوم بثقة أن إحدى الشركات التابعة الفردية لـ LockBit والتي تحمل اسم Beverley كانت في نفس الوقت لاعبًا رئيسيًا في إمبراطورية Evil Corp.
اسمه الحقيقي هو ألكسندر ريزينكوف، وكان بمثابة اليد اليمنى للعقل المدبر سيئ السمعة لشركة Evil Corp، ماكسيم ياكوبيتس، لأكثر من عقد من الزمان.
بصفته شريكًا موثوقًا وصديقًا لـ Yakubets، لعب Ryzhenkov دورًا نشطًا في تطوير برنامج الفدية WastedLocker الذي نشرته شركة Evil Corp في عام 2020 تقريبًا، عندما كانت المجموعة في حالة من الفوضى بعد عملية ديسمبر 2019 ضدها. وقالت NCA إنه اعتبارًا من عام 2022، يعمل Ryzhenkov أيضًا كشركة تابعة لـ LockBit.
قال جافين ويب، كبير ضباط التحقيق في عملية كرونوس، إن مدير LockBit، LockBitSupp – الاسم الحقيقي ديمتري خوروشيف – نفى في الماضي أي صلة له بعصابة Evil Corp التي عاشت لفترة طويلة.
“كان LockBit واضحًا جدًا في أنه لم يعمل أبدًا مع Evil Corp، وقد تمكنا من أن نظهر هنا بوضوح شديد أنهم فعلوا ذلك. فرع رئيسي واحد [Ryzhenkov] وقال ويب، الذي أضاف أن وكالة الجريمة الوطنية لا تزال تعمل مع مجموعة أوسع من الوكالات المشاركة في عملية كرونوس لتحديد التفاصيل الكاملة لعملية كرونوس، “كان مسؤولاً عن محاولة ابتزاز ما قيمته 100 مليون دولار من البيتكوين وكذلك استهداف وإنشاء بنيات ضد 60 ضحية على الأقل”. نشاط شركة LockBit التابعة وكيف تتناسب قطع اللغز معًا.
إلى جانب Ryzhenkov، تمت معاقبة ما مجموعه 16 فردًا مرتبطين بشركة Evil Corp في المملكة المتحدة، بينما تم الكشف أيضًا في الولايات المتحدة عن لائحة اتهام جديدة ضد Ryzhenkov.
ويُعتقد أن شركة Evil Corp حققت 300 مليون دولار من الضحايا في جميع أنحاء العالم على مر السنين، مع ضحايا معروفين بما في ذلك العديد من مشغلي البنية التحتية الوطنية الحيوية (CNI)، ومنظمات القطاع الصحي، والهيئات الحكومية والعامة.
وقال جيمس باباج، المدير العام للتهديدات في الوكالة الوطنية للجريمة: “إن الإجراء المعلن عنه اليوم جاء بالتزامن مع تحقيقات واسعة النطاق ومعقدة أجرتها الوكالة الوطنية لمكافحة الجريمة في اثنتين من أكثر مجموعات الجرائم الإلكترونية ضررًا على الإطلاق”.
“تكشف هذه العقوبات عن المزيد من أعضاء Evil Corp، بما في ذلك عضو كان تابعًا لـ LockBit، وأولئك الذين لعبوا دورًا حاسمًا في تمكين نشاطهم.
“منذ أن دعمنا الإجراء الأمريكي ضد شركة Evil Corp في عام 2019، قام الأعضاء بتعديل تكتيكاتهم وتقلصت الأضرار المنسوبة إلى المجموعة بشكل كبير. ونتوقع أن تؤدي هذه التصنيفات الجديدة أيضًا إلى تعطيل نشاطهم الإجرامي المستمر.
في جيب بوتين
أثناء التحقيق، أثبتت وكالة الجريمة الوطنية أيضًا أدلة على وجود روابط مشتبه بها منذ فترة طويلة بين Evil Corp والكرملين، وكشفت أن زعيم عصابة Evil Corp، ياكوبيتس، كان في جيب الحكومة الروسية وسعى بنشاط إلى إجراء اتصالات واتصالات على أعلى المستويات في مجتمع الاستخبارات. .
ومن الجدير بالذكر أن ياكوبيتس حصل على مساعدة في ذلك من قبل والد زوجته، إدوارد بندرسكي، وهو مسؤول سابق رفيع المستوى في جهاز الأمن الفيدرالي، الذي استفاد من اتصالاته لمساعدة ياكوبيتس على تطوير علاقته مع الدولة الروسية.
هو – هي منذ فترة طويلة معروفة أن هناك صلة بين الياكوبيت والدولة عبر الضابط السابق في القوات الخاصة سبيتسناز، بيندرسكي، الذي من المحتمل أن يكون لديه أذن الرئيس الروسي فلاديمير بوتين.
ومع ذلك، كشفت وكالة الجريمة الوطنية أيضًا عن معلومات استخباراتية جديدة مفادها أنه قبل عام 2019، تم تكليف شركة Evil Corp رسميًا بشن هجمات إلكترونية وعمليات تجسس ضد دول الناتو.
بعد الإجراء الذي تم اتخاذه في ديسمبر 2019 ضد شركة Evil Corp، حيث وجهت الولايات المتحدة لائحة اتهام إلى ياكوبيتسكما استخدم بندرسكي نفوذه في موسكو، واعتمد على الآخرين في الحكومة الروسية للتأكد من ترك أفراد عائلته وشأنهم.
يعد كل من فيكتور ياكوبيتس وإدوارد بندرسكي من بين الأفراد الخاضعين للعقوبات اليوم.
وشددت الوكالة الوطنية لمكافحة الجريمة على أن العلاقة بين الاثنين كانت غير عادية إلى حد كبير، وأن معظم العصابات الإجرامية السيبرانية التي تتخذ من روسيا مقرا لها تعمل على أساس دوافع مالية، على الرغم من حصولها على درجة معينة من “الحماية” من موسكو.
وقال وزير الخارجية البريطاني ديفيد لامي: “إنني أجعل من مهمتي الشخصية استهداف الكرملين بترسانة العقوبات الكاملة المتاحة لنا. لقد بنى بوتين دولة مافيا فاسدة يقع في مركزها. يجب أن نكافح هذا عند كل منعطف، والتحرك الذي اتخذ اليوم هو مجرد البداية.
تعتبر عملية إزالة LockBit بمثابة إذلال للعصابة
عصابة LockBit، والتي اشتهرت تعطلت خدمات البريد الملكي الدولية لأسابيع في بداية عام 2023، تمت إزالته عملية كرونوس في فبراير 2024 بعد موجة إجرامية غزيرة شهدت في وقت ما أنها تمثل أكثر من ربع جميع هجمات برامج الفدية المعروفة في جميع أنحاء العالم.
أسفرت عملية كرونوس عن اكتمالها تقريبًا اختراق عملية LockBit. لم يتم تحقيق ذلك من خلال الإزالة الفنية للبنية التحتية لخادمها فحسب، بل من خلال تحويل بعض تكتيكات العصابة بشكل إبداعي، من بينها تسمية الأعضاء الرئيسيين وفضحهم. بما في ذلك زعيمها المغرور خوروشيف.
والجدير بالذكر أن خوروشيف نفسه كان كذلك تم التصيد من قبل NCA في وقت سابق من العام عندما كشفوا أنه لا يقود سيارة لامبورغيني، كما ادعى، بل يقود سيارة مرسيدس قديمة، والتي يعيش في روسيا الخاضعة للعقوبات، ولم يعد بإمكانه الحصول على قطع غيار لها.
وبهذه الطريقة، كما يقول خبراء الإنترنت، ضمنت السلطات أن الطاقم ليس فقط غير قادر على العمل، بل تعرض للإهانة في أعين أقرانه، وعلى الرغم من أن الأفراد المرتبطين بـ LockBit أو المنتسبين إليهم حاولوا الرد في البداية، إلا أن الضرر بالسمعة التي تعرض لها الطاقم أثناء عملية الإزالة، جنبًا إلى جنب مع سلسلة من الانفجارات التي أدت إلى منع خوروشيف غير المستقر من المشاركة في منتديات الجرائم الإلكترونية السرية، وهذا يعني أنه لم يعد أحد يرغب في العمل مع LockBit بعد الآن، وتعثرت هذه الجهود إلى حد كبير.
هذا لا يعني أن الخطر من LockBit قد انتهى – فبعد مرور ثمانية أشهر، لا تزال خزانة برامج الفدية بحد ذاتها تشكل تهديدًا وتم استخدامها على ضحايا جدد، ولكنها تميل إلى أن تكون أقدم، ويتم نشر الإصدارات المسربة دون نجاح كبير من قبل الشركات الصغيرة الشركات التابعة. ومع تدهور مصداقيتها، قالت وكالة مكافحة الجريمة الوطنية إن عصابة LockBit لم تعد كما كانت من قبل.
قال ويب: “إن التعطيل الذي قمنا به كان يتعلق بتعطيل المجموعة بقدر ما كان يتعلق بتعطيل مسار نموها ومنعها من أن تصبح أكبر”.
المزيد من الاعتقالات
في الأسابيع الأخيرة، كشفت الوكالة الوطنية لمكافحة الجرائم (NCA)، أنه تم إجراء المزيد من الاعتقالات في المملكة المتحدة وأوروبا للأفراد الذين قاموا بغسل الأموال لصالح LockBit. ألقت السلطات الفرنسية القبض على مطور مشتبه به، بينما تم احتجاز أحد الميسرين الرئيسيين للبنية التحتية لشركة LockBit في إسبانيا، وتمت مصادرة إجمالي تسعة خوادم.
أعادت NCA أيضًا إطلاق بوابة الويب المظلمة الخاصة بـ LockBit، والتي استحوذت عليها في فبراير واستخدمتها لتهكم مجرمي الإنترنت، ونشرت المزيد من التفاصيل عن بعض الأفراد الذين تم القبض عليهم في الأسابيع الأخيرة.
