قال المسؤولون إن البنية التحتية التي تم الاستيلاء عليها من عصابة LockBit Ransomware تضمنت مئات المفاتيح الإلكترونية اللازمة لاستعادة البيانات المسروقة بالإضافة إلى الموقع على الويب المظلم حيث سربت LockBit بيانات من الضحايا الذين رفضوا دفع فدية بالعملة المشفرة.
جهود إنفاذ القانون، التي أطلق عليها اسم عملية كرونوس، كانت بقيادة وكالة الجريمة الوطنية في المملكة المتحدة وتضمنت مكتب التحقيقات الفيدرالي ووكالات إنفاذ أخرى. استخدم التحالف بعد ذلك موقع المجموعة لتقليد عمليته السابقة والبدء في تسريب معلومات حول LockBit، ونشر مؤقت للعد التنازلي للملفات التي لم تأت بعد، بما في ذلك ملف يثير معلومات قادمة حول الرجل المجهول في العصابة.
“إنه شيء من الجمال. قال دون سميث، نائب رئيس شركة Secureworks، التي أعادت السلطات نشر تحليلها للمجموعة على موقع المتسللين: “إن NCA ومكتب التحقيقات الفيدرالي يهاجمان LockBit بقوة”.
المجرمين الذين اختراق الشبكات الداخلية للمؤسسات المستهدفة باستخدام برامج الفدية لتشفير البيانات هناك وجعلها غير قابلة للاستخدام. إنهم يطالبون بالمال مقابل مفتاح فك التشفير وفي بعض الأحيان عدم نشر البيانات التي سرقوها. وفقًا لوزارة العدل، تم استخدام برنامج LockBit الضار لابتزاز أكثر من 120 مليون دولار من دفعات الفدية من أكثر من 2000 ضحية.
ظهرت أولى علامات الاستحواذ في وقت متأخر من يوم الاثنين، عندما ظهر إشعار على موقع LockBit نصه: “هذا الموقع الآن تحت سيطرة الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة، وتعمل بالتعاون الوثيق مع مكتب التحقيقات الفيدرالي وفرقة العمل الدولية لإنفاذ القانون، “عملية كرونوس”.
وقال مسؤولون بريطانيون وأمريكيون إنهم سيطروا على 200 شركة مالية حسابات تحتوي على كمية غير معلنة من العملات المشفرة، مصدر البرمجة الرمز المستخدم لتشفير البيانات وتسللها إلى خارج شبكات الشركة، وسجلات المحادثات الإلكترونية مع الشركات التابعة لـ LockBit التي نفذت عملية القرصنة الفعلية. وتم القبض على أحد المشاركين المتهمين في أوكرانيا وآخر في بولندا، وكلاهما الآن محتجزان لدى الولايات المتحدة، في حين تم الكشف عن لائحة اتهام ضد اثنين آخرين يفترض أنهما داخل روسيا.
كانت البرامج الضارة LockBit مسؤولة عن حوالي ربع جميع هجمات برامج الفدية في العامين الماضيين، وفقًا لتقديرات Secureworks. ويُعتقد على نطاق واسع أن شركة LockBit يتم تشغيلها من روسيا، على الرغم من أن علاقاتها مع الحكومة الروسية، إن وجدت، غير مؤكدة.
وفي عام 2022، كان هذا البرنامج أكثر برامج الفدية انتشارًا في العالم، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية.
نشرت شركة LockBit بيانات مسروقة من شركة Boeing العملاقة في مجال الطيران وأزعجت الأسواق المالية بهجوم على قسم الخدمات المالية في أحد البنوك الصينية الكبرى، ICBC. وتم استخدام هذه الأداة أيضًا لشل خدمة البريد البريطانية العام الماضي، مما أدى إلى تعطيل صادرات الطرود الدولية لمدة أسبوع. لقد ضرب العديد من المدن والأنظمة المدرسية والمقاطعات الأمريكية، بما في ذلك مؤخرًا مقاطعة فولتون في جورجيا، حيث يواجه الرئيس السابق دونالد ترامب اتهامات تتعلق بجهوده المزعومة لإلغاء انتخابات 2020.
قال مسؤولو مقاطعة فولتون يوم الأربعاء إن بعض خدماتها، بما في ذلك التكنولوجيا المستخدمة في نظامها القضائي، ظلت معطلة بعد أكثر من أسبوعين من الهجوم – مما يتطلب عقد اجتماعات معينة شخصيًا وليس عبر الهاتف أو منصات الاتصالات الأخرى.
وصف مدير عام NCA، غرايم بيغار، شركة LockBit بأنها “مجموعة الجرائم الإلكترونية الأكثر ضررًا” في العالم. “من خلال تعاوننا الوثيق، قمنا باختراق المتسللين؛ سيطروا على بنيتهم التحتية، واستولوا على الكود المصدري الخاص بهم، وحصلوا على المفاتيح التي ستساعد الضحايا على فك تشفير أنظمتهم. وقال في بيان: “اعتبارًا من اليوم، تم إغلاق LockBit”.
ولم يكشف المسؤولون كيف نجحوا في الاستيلاء على موقع LockBit، لكن أحد الأشخاص المقربين من العملية قال إن الأمر ربما استغرق ما يصل إلى عام. مع قيام مجموعات برامج الفدية بضرب البنية التحتية الحيوية وابتزاز ما يصل إلى مليار دولار سنويًا، والعديد منها يعمل من داخل حدود روسيا، أصبحت عمليات الإزالة المدعومة بالتكنولوجيا أولوية قصوى، وفي بعض الأحيان تحصل على المساعدة من الوكالات الاستخباراتية والعسكرية بالإضافة إلى وكالات إنفاذ القانون.
لقد أدت عمليات الإزالة والاعتقالات السابقة إلى كسر بعض حلقات الجريمة أو إضعافها. ولكن نظرًا لأن بعض المجموعات الكبرى تعمل بطريقة لا مركزية، حيث تعرض بشكل أساسي خدماتها للتأجير لمجرمي الإنترنت الذين يسعون إلى اختراق مؤسسة ما، فإن برامج الفدية الأخرى تمكنت المجموعات من تقديم خدمات مماثلة. وفي هذه الحالة يهدد المحققون المتسللون أنفسهم، المعروفون باسم الشركات التابعة، يحذرونهم على الموقع الذي تم الاستيلاء عليه من أنهم قد يكونون على اتصال ويدعوهم للتقدم أولاً.
أصبحت LockBit أكبر عملية لبرامج الفدية من خلال منح الشركات التابعة لها، التي تحتفظ بحوالي 80 بالمائة من الفدية، مساحة غير عادية للتفاوض مع أهدافها ونشر البيانات المسروقة بنفسها. وتتولى عصابات برامج الفدية الأخرى مثل هذه الواجبات نيابة عن المتسللين.
ربما يكون هذا التعاون الأعمق بين LockBit والشركات التابعة له قد ساعد المحققين على اختراق الشبكة. وقال التحالف إنه سيطر أيضًا على 28 خادمًا تابعًا لشركات تابعة.
تكشف NCA تفاصيل حملة تعطيل دولية تستهدف مجموعة الجرائم الإلكترونية الأكثر ضررًا في العالم، Lockbit.
شاهد الفيديو الخاص بنا وتابع القراءة لمعرفة المزيد عن Lockbit ولماذا تعتبر هذه خطوة كبيرة في معركتنا الجماعية ضد الجرائم الإلكترونية. pic.twitter.com/m00VFWkR9Z
– الوكالة الوطنية لمكافحة الجريمة (NCA) (@NCA_UK) 20 فبراير 2024
وقال جيسون نورس، خبير الأمن السيبراني في جامعة كينت في إنجلترا، في رسالة بالبريد الإلكتروني: “تعد LockBit واحدة من أهم تهديدات برامج الفدية، وقد يجادل الكثيرون بأنها المجموعة الأكثر إنتاجًا اليوم”. وأضاف: “تتمتع هذه المجموعات بتمويل جيد، وتعمل كعمل تجاري، وتتوخى الحذر الشديد في نهجها”.
وفي عام 2022، أصدرت LockBit اعتذارًا بعد أن قالت إن برنامج الفدية الخاص بها قد تم استخدامه لاستهداف مستشفى للأطفال. وقد عرضت على المستشفى رمزًا لفتح أنظمتها – وأفيد أنها أصدرت توجيهات سياسية تحظر على المجرمين استخدام برامجها في هجمات “حيث يمكن أن يؤدي تلف الملفات إلى الوفاة”.
لكن النموذج التابع الفضفاض يعني أنه كل بضعة أشهر، يقوم شخص ما بتثبيت LockBit على هدف حساس على أي حال، حسبما قال الباحثون.
وحذرت وكالات إنفاذ القانون البريطانية في السابق من التركيز أكثر من اللازم على معالجة المتغيرات الفردية لبرامج الفدية. وقالت الوكالة إن تعطيل متغيرات برامج الفدية الفردية “يشبه علاج أعراض المرض، ويكون استخدامه محدودًا ما لم تتم معالجة المرض الأساسي”.
لكن المسؤولين في المملكة المتحدة والولايات المتحدة يأملون أن تقوم شركة LockBit والشركات التابعة لها بحل عملياتها، على الأقل مؤقتا، خوفا من أن تتمكن السلطات من التعرف عليهم واعتقال الشركات التابعة لها على الأقل خارج روسيا والصين.