الشركات التي تدفع طلبات الفدية لمجرمي الإنترنت على أمل استعادة أنظمة تكنولوجيا المعلومات الخاصة بهم قد تكون معرضة لخطر الدعاية السلبية بشكل أكبر من تلك التي ترفض.
تحليل أولي للبيانات التي ضبطتها الوكالة الوطنية للجريمة (NCA) في إزالة LockBit تشير مجموعة برامج الفدية إلى أن أفضل طريقة لتجنب الدعاية السيئة قد تكون رفض الدفع.
ماكس سميتس، مؤلف الكتاب حرب الفدية, تم منحه إمكانية الوصول الخاضع للإشراف إلى البيانات الموجودة على LockBit 3.0 التي استولت عليها NCA أثناء عملية كرونوس، والتي أسقطت عملية LockBit Ransomware، وفحصت البيانات المسربة من LockBit 4.0.
قارن سميتس التقارير الصحفية عن 100 شركة دفعت برامج الفدية مع التقارير عن 100 شركة رفضت الدفع.
وقال في مقابلة مع مجلة “كمبيوتر ويكلي”: “اتضح أنه من المرجح أن تكتب قصة عنك إذا كنت قد دفعت أكثر مما لو لم تدفع”.
تتعارض استنتاجات سميتس مع ادعاءات عصابات برامج الفدية الإجرامية بأن الشركات التي تدفع مبالغ يمكن أن تتجنب الدعاية السيئة. ويطلق على هذا الأمر اسم تأثير سترايسند، حيث أنه عند دفع فدية لتجنب الدعاية، ينتهي الأمر بالشركات إلى جذب نفس الدعاية التي تحاول تجنبها.
من المرجح أن تكتب قصة عنك إذا كنت قد دفعت [a ransom] مما لو كنت لم تدفع
ماكس سميتس، خبير برامج الفدية
لطالما جادل تطبيق القانون بأنه لا ينبغي للشركات دفع رسوم الفدية لأنها تدعم النظام البيئي لبرامج الفدية وليس هناك ما يضمن أنها ستستعيد بياناتها.
وقال سميتس في حديثه لمجلة كمبيوتر ويكلي في معرض “ما تشير إليه البيانات أيضًا هو أنه لا ينبغي عليك أيضًا أن تدفع إذا كنت خائفًا من التعرض العلني”. القبعة السوداء مؤتمر أمني في لندن
فن الصفقة السيئة
وكشف تحليل سميتس أيضًا عن مدى سوء استعداد العديد من المنظمات عند التفاوض بشأن دفعات برامج الفدية مع الشركات الإجرامية التابعة لشركة LockBit.
أخبرت بعض الشركات عصابات الجريمة مقدمًا أنهم كانوا يائسين لاستعادة بياناتهم لأنه ليس لديهم نسخ احتياطية، مما يضعهم على الفور في موقف دفاعي في المفاوضات.
وحاول آخرون دون جدوى كسب التعاطف مع المتسللين من خلال الادعاء بأنهم لا يستطيعون دفع الفدية، أو أنهم يخدمون المجتمع المحلي.
ووجد سميتس أيضًا أن بعض الضحايا أرسلوا إلى عصابات برامج الفدية نسخًا من وثائق التأمين الخاصة بهم لإظهار المبلغ الذي يمكنهم دفعه.
من المرجح أن يتصدر ضحايا برامج الفدية التي يدفعون ثمنها عناوين الأخبار أكثر من أولئك الذين يرفضون ذلك
وتظهر النتائج التي توصل إليها أن الشركات بحاجة إلى أن تكون مستعدة بشكل أفضل لمفاوضات الفدية إذا حدث الأسوأ.
وقال: “هناك فرصة كبيرة، خاصة بالنسبة للشركات الصغيرة والمتوسطة الحجم، لكي تصبح أفضل في فهم كيفية التعامل مع هؤلاء المجرمين دون ارتكاب أخطاء فادحة وواضحة”.
تتبع الشركات الإجرامية التابعة لشركة LockBit قواعد اللعبة القياسية للتفاوض بشأن دفع الفدية، والتي تتضمن عادةً المطالبة بفدية أولية، وعرض فك تشفير ملفين مجانًا، والتهديد بتسريب البيانات إذا لم تدفع المنظمات المبلغ.
وقد وجد سميتس أن الجماعات الإجرامية لديها الكثير من الضحايا لدرجة أنها لا تقضي وقتًا في تحليل البيانات التي تلتقطها للبحث عن مواد مساومة يمكن أن ترفع قيمة طلب الفدية – فهم مهتمون أكثر بالضحية التالية.
إذا لم تقم الشركات بالسداد في غضون أسابيع قليلة، فقد تميل الشركات التابعة إلى افتراض أن افتقار الضحية إلى اليأس قد يعني أن هجوم برامج الفدية الخاصة بها لم يسبب الكثير من الضرر. وقد يكونون على استعداد لقبول دفعات أصغر مقابل الاتفاق على عدم نشر البيانات المخترقة.
مفارقة الثقة
تقوم مجموعات برامج الفدية مثل LockBit بالخداع والسرقة، ولكن يتعين عليها بطريقة ما إقناع الضحايا بأنهم جديرون بالثقة بدرجة كافية لاستعادة بياناتهم مقابل دفع مبلغ الفدية، لذا فإن السمعة مهمة.
تظهر أبحاث سميتس أن عملية Chronos لم تدمر البنية التحتية لـ LockBit فحسب، بل دمرت أيضًا سمعتها.
في فبراير 2024، صادرت عملية الشرطة الدولية خوادم LockBit ومركزها الإداري وموقعها الإلكتروني العام واتصالاتها الداخلية.
وقال: “إن NCA لم تلاحق بنيتهم التحتية التقنية فحسب، بل شوهت سمعتهم أيضًا من خلال الكشف عن أكاذيبهم”.
على سبيل المثال، قالت المجموعة إنها ستحظر التابعة لها التي ضربت مستشفى للأطفال قال سميتس: “في تورنتو – لم يحدث ذلك”. كما وعدت شركة LockBit أيضًا بحذف بيانات الضحايا من خوادمها إذا وافقوا على الدفع، لكنها لم تفعل ذلك في كثير من الأحيان.
عندما حاولت العصابات الإجرامية إحياء LockBit في ديسمبر 2024، تضررت سمعتها بشكل لا يمكن إصلاحه.
قبل عملية Chronos، بين مايو 2022 وفبراير 2022، تلقت 80 شركة تابعة لـ LockBit 3.0 دفعات من برامج الفدية.
LockBit 4.0، وهي محاولة لإحياء عملية برامج الفدية بعد إزالة الشرطة لها، لم تتلق سوى ثماني دفعات من برامج الفدية بين ديسمبر 2024 وأبريل 2025، وفقًا لبحث سميتس.
وقال: “إن شركة LockBit مشوهة للغاية لدرجة أنها حتى لو تمكنت من إعادة بنيتها التحتية مرة أخرى، فإنها تظل ظلًا لما كانت عليه في السابق”.
يمكن أن تشكل عملية Chronos مخططًا لعمليات إزالة برامج الفدية في المستقبل من خلال تدمير ليس فقط البنية التحتية ولكن أيضًا سمعة عصابات برامج الفدية.
ويأمل سميتس في إجراء المزيد من الأبحاث حول العلاقة بين دفع الفدية والتغطية الصحفية السلبية لاختبار النتائج الأولية التي توصل إليها.
