ستة أشياء تعلمناها من إزالة LockBit

أدت عملية واسعة النطاق لإنفاذ القانون قادتها وكالة الجريمة الوطنية في المملكة المتحدة هذا الأسبوع إلى القضاء على LockBit، وهي عصابة برامج الفدية سيئة السمعة المرتبطة بروسيا والتي تسببت لسنوات في إحداث دمار في الشركات والمستشفيات والحكومات في جميع أنحاء العالم.

أدى هذا الإجراء إلى إغلاق موقع التسريب الخاص بـ LockBit، ومصادرة خوادمه، وإجراء عدة اعتقالات، وتطبيق عقوبات الحكومة الأمريكية في واحدة من أهم العمليات المتخذة ضد مجموعة برامج الفدية حتى الآن.

إنها أيضًا، بلا شك، واحدة من أكثر عمليات الإزالة الجديدة التي شهدناها، حيث أعلنت سلطات المملكة المتحدة عن الاستيلاء على البنية التحتية لـ LockBit على موقع التسريب الخاص بالمجموعة، والذي أصبح الآن موطنًا لمجموعة من التفاصيل حول الأعمال الداخلية للعصابة – مع وعد بالمزيد ليأتي.

وإليكم ما تعلمناه حتى الآن.

لم تحذف LockBit بيانات الضحايا، حتى لو دفعوا

يشتبه منذ فترة طويلة في أن دفع فدية للمتسلل هو مقامرة وليس ضمانًا لحذف البيانات المسروقة. بل إن بعض الضحايا من الشركات قالوا ذلك، قائلين إنهم “لا يستطيعون ضمان” محو بياناتهم.

لقد أعطتنا عملية إزالة LockBit تأكيدًا على أن هذا هو الحال تمامًا. وكشفت الوكالة الوطنية لمكافحة الجريمة أن بعض البيانات الموجودة في أنظمة LockBit التي تم الاستيلاء عليها تعود إلى ضحايا دفعوا فدية لمنفذي التهديد، “مما يدل على أنه حتى عندما يتم دفع الفدية، فإنه لا يضمن حذف البيانات، على الرغم من ما فعله المجرمون”. وقالت NCA في بيان لها: “لقد وعدوا”.

حتى عصابات برامج الفدية تفشل في تصحيح نقاط الضعف

نعم، حتى عصابات برامج الفدية تكون بطيئة في تصحيح الأخطاء البرمجية. وفقا لمجموعة أبحاث البرمجيات الخبيثة vx-تحت الارض نقلاً عن LockBitSupp، القائد المزعوم لعملية LockBit، اخترقت سلطات إنفاذ القانون خوادم عملية برامج الفدية باستخدام ثغرة أمنية معروفة في لغة ترميز الويب الشهيرة PHP.

يتم تتبع الثغرة الأمنية المستخدمة لاختراق خوادمها باسم CVE-2023-3824، وهو ثغرة في التنفيذ عن بعد تم تصحيحها في أغسطس 2023، مما يمنح LockBit أشهرًا لإصلاح الخطأ.

تقول رسالة LockBitSupp المترجمة إلى vx-underground، والمكتوبة في الأصل باللغة الروسية: “يقوم مكتب التحقيقات الفيدرالي بتدمير الخوادم عبر PHP، ولا يمكن لمس الخوادم الاحتياطية التي لا تحتوي على PHP”.

تستغرق عمليات إزالة برامج الفدية وقتًا طويلاً

استغرقت عملية إزالة LockBit، المعروفة رسميًا باسم “Operation Cronos”، سنوات عديدة، وفقًا لوكالة إنفاذ القانون الأوروبية Europol. وكشفت الوكالة الثلاثاء أن تحقيقاتها في عصابة برامج الفدية سيئة السمعة بدأت في أبريل 2022، أي قبل نحو عامين، بناء على طلب السلطات الفرنسية.

منذ ذلك الحين، قالت يوروبول إن مركزها الأوروبي للجرائم الإلكترونية، أو EC3، نظم أكثر من عشرين اجتماعًا تشغيليًا وأربع جولات فنية مدتها أسبوع واحد لتطوير خيوط التحقيق قبل المرحلة النهائية من التحقيق: الإزالة هذا الأسبوع.

لقد اخترق LockBit أكثر من 2000 منظمة

من المعروف منذ فترة طويلة أن LockBit، التي دخلت ساحة الجرائم الإلكترونية التنافسية لأول مرة في عام 2019، هي واحدة من عصابات برامج الفدية الأكثر انتشارًا، إن لم تكن أكثرها.

وتكاد عملية يوم الثلاثاء تؤكد ذلك، والآن لدى وزارة العدل الأمريكية أرقام تدعم ذلك. وفقًا لوزارة العدل، فقد طالبت LockBit بأكثر من 2000 ضحية في الولايات المتحدة وفي جميع أنحاء العالم، وحصلت على أكثر من 120 مليون دولار من دفعات الفدية.

قد تؤثر العقوبات التي تستهدف عضوًا رئيسيًا في LockBit على برامج الفدية الأخرى

أحد كبار أعضاء LockBit الذين تم توجيه الاتهام إليهم وفرض عقوبات عليهم يوم الثلاثاء هو مواطن روسي، يُدعى إيفان جيناديفيتش كوندراتيف، الذي يزعم المسؤولون الأمريكيون أنه متورط في عصابات أخرى لبرامج الفدية.

ووفقًا لوزارة الخزانة الأمريكية، فإن لكوندراتييف أيضًا علاقات مع REvil وRansomEXX وAvaddon. في حين أن RansomEXX وAvaddon هما متغيران أقل شهرة، فإن REvil هو متغير آخر من برامج الفدية مقره في روسيا واكتسب سمعة سيئة بسبب الاختراقات البارزة، حيث حقق الملايين من دفعات الفدية عن طريق اختراق شركة مراقبة الشبكات الأمريكية العملاقة Kaseya.

تم تعيين كوندراتييف أيضًا كقائد لمجموعة LockBit الفرعية التي تم الكشف عنها حديثًا والتي تسمى “جمعية المخاطر الوطنية”. لا يُعرف سوى القليل عن شركة LockBit التابعة حتى الآن، لكن NCA وعدت بالكشف عن المزيد في الأيام المقبلة.

وتمنع العقوبات فعلياً ضحايا برنامج فدية كوندراتييف المقيمين في الولايات المتحدة من دفع الفدية التي يطلبها له. ونظرًا لأن كوندراتييف لديه أيدي في خمس عصابات مختلفة على الأقل لبرامج الفدية، فمن المرجح أن تجعل العقوبات حياته أكثر صعوبة خمس مرات.

يتمتع البريطانيون بروح الدعابة

قد يزعم بعض الأشخاص (أنا، مواطن بريطاني) أننا كنا نعرف هذا بالفعل، لكن اختراق LockBit أظهر لنا أن سلطات المملكة المتحدة تتمتع بروح الدعابة.

لم تكتف NCA بالسخرية من LockBit من خلال محاكاة موقع تسرب الويب المظلم الخاص بالعصابة من أجل الكشف الخاص بها المتعلق بـ LockBit. لقد وجدنا العديد من بيض عيد الفصح مخبأة في موقع LockBit الذي تمت مصادرته الآن. مفضلتنا هي أسماء الملفات المتنوعة لصور الموقع، والتي تتضمن “oh Dear.png” و”doesnt_look_good.png” و”this_is_really_bad.png”.