أكثر من مليون دولار من أصول العملة المشفرة التي يتم غسلها من قبل أو نيابة عن سيئة السمعة حدادة رانسومواري عصابة – تم الاستيلاء عليها سابقًا باسم Royal – قبل عملية الإزالة متعددة الجنسيات في يوليو ، بقيادة السلطات الأمريكية بدعم من الوكالة الوطنية للجريمة في المملكة المتحدة (NCA) وشرطة الإنترنت من كندا وفرنسا وألمانيا وأيرلندا وليتوانيا وأوكرانيا.
شهدت عملية Checkmate ، التي وقعت في 24 يوليو ، إجراءً منسقًا اتخذ أربعة خوادم وتسعة مجالات دون اتصال بالإنترنت. كشفت وزارة العدل الأمريكية (DOJ) عن هذا الأسبوع ، وهو أمر تم الاستيلاء على أصول التشفير بقيمة 1.09 مليون دولار (800000 جنيه إسترليني) من قبل مكاتب المدعي العام الأمريكي للمنطقة الشرقية في فرجينيا ومقاطعة كولومبيا. تم النوبة نفسها منذ بضعة أشهر.
تم دفع الأموال المعنية في أو حوالي 4 أبريل 2023 من قبل ضحية سلمت أكثر من 49.31 Bitcoin في مقابل موافقة عصابة الحدادة على فك التشفير. كانت الدفع بقيمة حوالي 1.45 مليون دولار في ذلك الوقت. تم إيداع جزء من هذا المجموع بشكل متكرر وسحبه إلى حساب تبادل العملات الافتراضية ، قبل تجميدها في البورصة في يناير 2024.
“إن تعطيل البنية التحتية لفدية الفدية لا يتعلق فقط بإنزال الخوادم – بل يتعلق بتفكيك النظام الإيكولوجي بأكمله الذي يمكّن مجرمي الإنترنت من العمل دون عقاب” ، كما قال مايكل برادو ، نائب مدير مركز الجرائم السيبرانية في تحقيقات الأمن الداخلي (له) ، فرع التحقيق في الحكومة الفيدرالية في الأمن الداخلي (DHS.
وقال برادو: “هذه العملية هي نتيجة للتنسيق الدولي الدؤوب وتظهر عزمنا الجماعي على محاسبة الجهات الفاعلة الفدية”.
وأضاف HSI Washington DC وكيلًا خاصًا مسؤولًا عن كريستوفر هيك: “يعكس هذا التحقيق الانتشار الكامل لمهمة HSI الإلكترونية والتزامنا بحماية الضحايا – سواء كانوا شركات صغيرة أو أنظمة مدرسية أو مستشفيات. سنستمر في استهداف البنية التحتية ، والمالية والمشغلات وراء مجموعات البرامج المسلحة هذه لضمان عدم وجود أي مكان لإخفاءه”.
يعكس هذا التحقيق الانتشار الكامل لمهمة HSI الإلكترونية والتزامنا بحماية الضحايا. سنستمر في استهداف البنية التحتية والمالية والمشغلين وراء مجموعات الفدية هذه لضمان عدم تركهم في أي مكان للاختباء
كريستوفر هيك ، تحقيقات الأمن الداخلي
من المحتمل أن يكون هناك ممثل من فدية غزير الإنتاج ، ويتألف من أفراد لديهم روابط تاريخية لعصابة كونتي. ظهرت لأول مرة في أوائل عام 2022 ، على الأرجح بمثابة شركة تابعة للعصابات الأخرى ، قبل أن تظهر ملكية مع تشفيرها الخاص في الخريف. استمرت في إعادة تسمية الأسود بعد هجوم كبير على مدينة دالاس في تكساس ، لكنها كانت هادئة حتى الصيف الماضي ، عندما بدأت في ذلك تكثف وتيرة هجماتها مرة أخرى.
خلال حياتها التشغيلية ، يُعتقد أن السود هاجموا ما يقرب من 500 ضحية في الولايات المتحدة وحدها وابتزاز أكثر من 370 مليون دولار من المدفوعات.
وشملت استهدافها الضحايا في العديد من قطاعات البنية التحتية الحرجة ، مثل الهيئات الحكومية والرعاية الصحية والتصنيع. كما لوحظ ، كان أحد ضحاياها الأكثر جدارة بالملاحظة هي مدينة دالاس ، التي تعرضت للهجوم في ربيع عام 2023.
في هذا الحادث سيئ السمعة، تمكنت العصابة من الوصول إلى أنظمة حكومة المدينة باستخدام حساب مسروق ، وتوسيع نطاق ملفات Terabyte على مدى فترة أربعة أسابيع ، قبل تنفيذ حمولة Ransomware.
في حين أن Blacksuit تدير نموذجًا قياسيًا للتشفير المزدوج إلى حد ما ، إلا أنه كان جديرًا بالملاحظة إلى حد ما في مقاربتها لتشفير بيانات ضحاياها ، باستخدام نهج تشفير جزئي سمح لمشغليها باختيار مقدار البيانات في ملف للتشفير. هذا التكتيك يعني أن العصابة يمكن أن تعمل بشكل أسرع وتتهرب من الكشف.
لا تزال التوقعات فوضى
على الرغم من نجاح العملية المشتركة ، فدية من الصعب للغاية تحديد الممثلين ، وعندما يحاصرون ، يكون لديهم عادة محبطة من الذوبان في الظلال وإعادة الظهور بهوية جديدة في أسفل الخط.
في حالة Blacksuit ، قد تكون العلامة التجارية التالية للعصابة قيد التقدم بالفعل. في أواخر يوليو ، الباحثون في نشرت Cisco Talos الذكاء ربط عملية Ransomware-As-Service (RAAS) الناشئة التي أطلق عليها اسم الفوضى إلى عملاء السود السابقين.
في تقييمهم ، قال فريق Cisco Talos إنه من المحتمل أن يستند إلى أوجه التشابه في التكتيكات والتقنيات والإجراءات (TTPs) – بما في ذلك أوامر التشفير ، والموضوع الواسع والهيكل لمذكرة الفدية ، واستخدام أدوات مماثلة في هجماتها – كانت الفوضى “إما إعادة صياغة من أدوات السوداء أو التي يتم تشغيلها من بعض الأعضاء السابقين”.
