برنامج الفدية هو تطبيق غير شرعي يعمل على تشفير ملفات جهازك وبالتالي يمنعك من تداول ملفاتك ومعلوماتك تم تصميمه من قبل مبرمجين يعملون لحساب عصابة إجرامية، حيث تظهر لك طلب تلك العصابة منك بدفع فدية مقابل إلغاء التشفير، وبالتالي تصبح معلوماتك في أيدي غير أمينة، مما يلزم أن نكون على دراية أن ما يتم إرساله لنا من ملفات وروابط تشعبية ليس بالضرورة أن يكون صحيحا.
برنامج الفدية مشكلة تواجهها جميع المنشآت سواء أكانت حكومية أم خاصة، صحية كانت، أم تعليمية، تجارية أم مصرفية أو غير ذلك، ويعتبر أكبر التهديدات السيبرانية التي من الممكن أن تحصل سواء على مستوى المنشأة أو حتى الفرد، فقط ما على الشخص الذي لديه فضول في معرفة ما بداخل الملف المرفق مع بريده، أو الرابط الذي وصله، الضغط عليه ليبدأ مسلسل معاناته سواء لجهاز الضحية أو الشبكة الذي ينتمي إليه ذلك الجهاز المصاب.
بحسب موقع هالسيون halcyon والذي يراقب الهجمات المحدثة لبرامج الفدية، هي مجموعة ظهرت لأول مرة في أيلول/سبتمبر عام 2019، وأطلقت على نفسها اسم برنامج الفدية “ABCD”. ومنذ ذلك الحين، حصل تطور سريع في منظومتها، وفي عام 2022 أصبح أكثر أنواع برامج الفدية انتشارا في جميع أنحاء العالم، وتقوم بإنتاج البرامج كخدمة لزبائنها، مما يعني أن الفريق الأساسي ينشئ برامجه الضارة ويدير موقعه على الإنترنت، بينما يقوم بترخيص التعليمات البرمجية الخاصة به لمن يتبعه والذي يشن الهجمات على الضحية التي تم اختيارها، ويأخذ عمولة خاصة به مقابل كل ذلك، حيث يتلقى امن يتبع المجموعة، أو من يتم التعامل معها في سرقة البيانات ثلاثة أرباع الثمن الذي يتم جمعه من كل عملية دفع لأجل فك رمز برنامج الفدية الذي قام بتشفير ملفات الضحية، ويأخذ الربع الباقي، وإذا كان نفس الفريق الأساسي هو الذي يجري المفاوضات وبالإجراءات المعنية، فإن هذه الرسوم ترتفع إلى 30 إلى 50%.
في نوفمبر 2023، قدمت مجموعة لوك بيت توصيات جديدة بشأن قيم الفدية بناء على إيرادات الضحية، مما يمنع التخفيضات التي تزيد عن 50%، وقد تصدرت عناوين الأخبار بهجماتها الجريئة على العديد من المنشآت في جميع أنحاء العالم.
من الجانب التقني البحت، فإن ما جعل لوك بيت مميزا مقارنة ببرامج الفدية المنافسة الأخرى هو أنه كان يتمتع بقدرات الانتشار الذاتي، وبمجرد إصابة مضيف في الشبكة، تصبح برمجيات برنامج الفدية قادرة على البحث عن أهداف قريبة أخرى ومحاولة إصابتها أيضا، وهي تقنية لم تكن شائعة في هذا النوع من البرامج الضارة.
تشتهر مجموعة أو منصة لوك بيت أيضا بتجربتها لأساليب جديدة للضغط على ضحاياها لدفع الفدية، حيث يعد الابتزاز الثلاثي أحد هذه الأساليب التي تتضمن الطرق التقليدية لتشفير بيانات الضحية والتهديد بتسريبها، ولكنها تتضمن أيضا هجمات رفض الخدمة الموزعة DDoS كطبقة إضافية من الضغط، وبنفس الأسلوب تأثرت طريقة الابتزاز الثلاثي جزئيا بهذا النوع من الهجوم الذي تعرضوا له، وذلك من قبل من أرادوا العمل على إيقاف عملياتها الإجرامية، مما أعاق قدرتهم على نشر البيانات المسروقة، وردا على ذلك، قامت المجموعة المقرصنة بتعزيز بنيتها التحتية لمقاومة مثل هذه الهجمات، وتُعرف المجموعة على نطاق واسع على أنها أكثر برامج الفدية انتشارا وضررا في العالم، مما يتسبب في أضرار تقدر بالمليارات بحسب قيم عملات الدول التي تأثرت بها.
وقد نشرت لوك بيت عدة إصدارات من برامج الفدية الخاصة بها، بدءا من الإصدار الأول (يناير 2020) إلى LockBit 2.0 (والملقب بـ “الأحمر”، اعتبارا من يونيو 2021)، ثم إلى LockBit 3.0 (والملقب بـ “الأسود”، اعتبارا من مارس 2022). في أكتوبر 2021، تم التهديد من خلال LockBit Linux لاستيعاب الهجمات على أنظمة Linux وVMWare ESXi.
وآخر نسخها قبل تحييدها، ظهرت في يناير 2023، أطلق عليها اسم “الأخضر”، والتي تضمنت تعليمات برمجية موروثة على ما يبدو من برنامج الفدية كونتي المنتهي، ومع ذلك لم يتم تحديد على أنه إصدار لوك بيت رقم 4.0 مجدد.
في الآونة الأخيرة، واجهت المجموعة مشكلات داخلية وخارجية هددت مكانتها وسمعتها كواحدة من أفضل موفري برنامج الفدية كخدمة RaaS، وتتناول المدونة هذه المشكلات وتقدم نظرة على بياناتنا، والتي توضح التراجع الواضح للمجموعة على مدار العامين الماضيين.
قامت وكالة الجريمة الوطنية البريطانية NCA بفحص أداة لوك بيت والخاصة بالسرقة لعدة أشهر، بوضع تقرير يشرح أهمية الأداة وكيفية عملها، حيث تم قطع اتصال جميع خوادم أداة السرقة كجزء من هذه العملية من خلال العمل الرئيسي لمكتب التحقيقات الفيدرالي واليوروبول وشركاء إنفاذ القانون في فنلندا وهولندا.
ومن خلال التعاون في هذه العملية، حصلت الوكالة على كمية كبيرة من المعلومات وحللتها وذلك فيما يتعلق بأداة السرقة المخصصة لوك بيت، وتقول الوكالة أنه يتم توفير هذه الأداة للتابعين لمنصة لوك بيت لتسهيل عملية استخراج الملفات من المنشآت التي تقع فريسة لها، وإرسال الملفات إلى أحد خوادم الستة الرئيسية التي تم كشفها، وقد حددت وكالة الجريمة الوطنية هذه الخوادم، بالتعاون والمشاركة مع مكتب التحقيقات الفيدرالي الأمريكي وفريق عملية كرونوس، حيث تم تدمير جميع الخوادم الستة الخاصة بالمنصة.
تم أيضا الحصول على الكود المصدري للبرنامج النصي الذي ينشئ الوكلاء الأوليين وتحليله، وبحسب الوكالة فإنه تم امتلاك جميع أشكال الكود أو النص البرمجي لأداة السرقة Stealbit، والذي يعتبر مثال على محاولة لوك بيت تقديم خدمة متكاملة للتابعين لها من خلال التشفير، والقرصنة، والتفاوض، والنشر.
في جوهر الأمر، تقول الوكالة البريطانية أنه بتحليل وفهم كيفية عمل هذه الأداة الضارة والبنية التحتية المرتبطة بها بشكل كامل، يكون بالتالي تم تحديد موقع الخوادم التي تم تدميرها، وأنه يمكن تحديد موقعها مرة أخرى إذا تم تضليل أي شخص بما يكفي لمحاولة استخدامها، وتقول أن المجموعة المقرصنة كانت بعد ذلك ترسل الأداة الضارة البيانات باستخدام “WebDAV Head”، وهي عبارة عن مجموعة من امتدادات HTTP التي توفر إمكانات التعاون للعملاء مباشرة على خادم ويب HTTP الخاص بهم، وهذه البيانات تحتوي على اسم ملف جديد (يبلغ طوله 33 خانة حرفية، ويبدأ بالرقم 0 أو 1، ومسار الملف، واسم الحاسوب، ومعرف رئيسي، والذي يعتبر “معرف الحملة” الذي يربط الضحية المستهدفة وممثل التهديد في منصة إدارة لوك بيت، وتقول بأنه يتم نقل هذه التفاصيل مع البيانات المسروقة أثناء تسللها، وهذا يمكن من يتبع المنصة التي أصابت الشركة من التعرف على لوك بيت، والحصول على أموالها في النهاية. ومن خلال معرفات الحملة هذه، يمكن إنشاء الرابط بين الضحية ومن يتبعها. بمجرد التنفيذ، إذا لم تتمكن أداة السرقة Stealbit من الاتصال بعنوان شبكي مشفر خاص بها، وذلك لتصفية البيانات المسروقة، وبعدها يحذف نفسه دون نقل أي بيانات.
وتقول وكالة الجريمة الوطنية البريطانية، أنه تم الكشف بوجود طريقتين حول كيفية استخدام الشركات التابعة لأداة السرقة Stealbit. حيث أن الطريقة الأولى هي الطريقة المفضلة لإرسال البيانات للوصول إلى موقع المدونة، وذلك من خلال البنية الخاصة بالذين يتبعون المنصة، وبعدها باستخدام أدارة السرقة.
باستخدام هذه الطريقة، تتعرض الشركات التابعة للطريقة الثانية لخطر حرق البنية التحتية لأداة السرقة من خلال الكشف عن طريق شركات الاستجابة للحوادث، وبالتالي من النوادر استخدام هذه الطريقة في حال عدم وجود البنية التحتية للتابعين لها.
قبل أن نجيب على هذا السؤال، يجب معرفة ما قالته سلطات إنفاذ القانون الدولية، كيف تمت السيطرة على مجموعة لوك بيت المقرصنة، حيث تمت دراسة وبحث آلية وطريقة عملها ومن خلال استخدام الكثير من أدوات البحث في الإنترنت المظلم، وذلك عن طريق عملية سميت باسم كرونوس، وتضمنت هذه العملية تعاونا من مكتب التحقيقات الفيدرالي، ووزارة العدل الأمريكية، ووكالة الجريمة الوطنية، واليوروبول، وقوات الشرطة من عشرة دول وهي أستراليا، ألمانيا، الولايات المتحدة، المملكة المتحدة، هولندا، اليابان، سويسرا، والسويد، بالإضافة إلى دول ساندت العملية التي تم تنفيذها وهي فنلندا، نيوزيلاندا، بولندا، وأوكرانيا، ويشكل هذا النشاط جزءا من حملة مستمرة ومنسقة من قبل فريق عمل عملية كرونوس الدولية لاستهداف وتعطيل برنامج الفدية لوك بيت، وأما عن السلطات التالية التي شاركت في العملية فهي كما يلي:
فرنسا: قوات الدرك الوطنية (Gendarmerie Nationale – Unité nationale cyber C3N)
ألمانيا: مكتب الدولة للتحقيقات الجنائية شليسفيغ هولشتاين (LKA Schleswig-Holstein)، مكتب الشرطة الجنائية الفيدرالية (Bundeskriminalamt)
هولندا: الشرطة الوطنية (فريق الجرائم الإلكترونية في زيلاند غرب برابانت، فريق الجرائم الإلكترونية في أوست برابانت، فريق الجرائم ذات التقنية العالية) ومكتب المدعي العام زيلاند غرب برابانت
السويد: هيئة الشرطة السويدية
أستراليا: الشرطة الفيدرالية الأسترالية (أ ف ب)
كندا: شرطة الخيالة الملكية الكندية (RCMP)
اليابان: وكالة الشرطة الوطنية (警察庁)
المملكة المتحدة: الوكالة الوطنية لمكافحة الجريمة (NCA)، وحدة الجريمة المنظمة الإقليمية الجنوبية الغربية (جنوب غرب ROCU)
الولايات المتحدة: وزارة العدل الأمريكية (DOJ)، مكتب التحقيقات الفيدرالي (FBI) نيويورك
سويسرا: المكتب الفيدرالي السويسري للشرطة (fedpol)، مكتب المدعي العام في كانتون زيورخ، شرطة كانتون زيورخ
وكما ذكرنا سابقا حيث تم الطلب من دول ساندتها للقيام في هذه العملية على النحو التالي:
فنلندا: الشرطة الوطنية (Poliisi)
بولندا: المكتب المركزي للجرائم الإلكترونية في كراكوف (Centralne Biuro Zwalczania Cyberprzestępczości – Zarząd w Krakowie)
نيوزيلندا: شرطة نيوزيلندا (Nga Pirihimana O Aotearoa)
أوكرانيا: مكتب المدعي العام في أوكرانيا (Офис Генeraльного прокурора України)، إدارة الأمن السيبراني في جهاز الأمن في أوكرانيا (Слуба безпеки України)، الشرطة الوطنية لأوكرانيا (Национальна полиция України)
تخضع هذه البنية التحتية لسيطرة سلطات إنفاذ القانون، وقد تم تحديد أكثر من 14000 حساب مسؤول عن التسلل أو البنية التحتية وإحالتها لإزالتها من قبل سلطات إنفاذ القانون، وتأتي هذه الحملة الدولية في أعقاب تحقيق معقد أجرته الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة في إطار فريق عمل دولي يعرف باسم “عملية كرونوس”، بتنسيق على المستوى الأوروبي من قبل يوروبول ويوروجست، وقد أدت العملية التي استمرت لعدة أشهر إلى اختراق منصة مجموعة لوك بيت المقرصنة الأساسية والبنية التحتية الحيوية الأخرى التي مكنت مشروعهم الإجرامي، والذي يشمل ذلك إزالة 34 خادما في هولندا وألمانيا وفنلندا وفرنسا وسويسرا وأستراليا والولايات المتحدة والمملكة المتحدة، وذلك بالتعاون مع المعنيين في هذه الدول.
بالإضافة إلى ذلك، تم القبض على اثنين من ممثلي لوك بيت في بولندا وأوكرانيا بناءً على طلب السلطات القضائية الفرنسية. كما أصدرت السلطات القضائية الفرنسية والأمريكية ثلاث مذكرات اعتقال دولية وخمس لوائح اتهام.
وقامت سلطات إنفاذ القانون الدولية بتجميد أكثر من 200 حساب بالعملة المشفرة المرتبط بالمنظمة الإجرامية، مما يؤكد الالتزام بتعطيل الحوافز الاقتصادية التي تحرك هجمات برنامج الفدية لهذه المجموعة، حيث سيطرت وكالة الجريمة الوطنية في المملكة المتحدة التي تعمل ضمن فريق سلطات إنفاذ القانون على البنية التحتية التقنية التي تسمح لجميع عناصر خدمة المجموعة بالعمل، بالإضافة إلى موقع التسريب الخاص بها على الإنترنت المظلم، والذي استضافت عليه سابقا البيانات المسروقة من ضحايا هجمات برنامج الفدية، ومع البلدان المشاركة على جانبي العالم، لعبت الشرطة الأوروبية يوروبول التي تستضيف أكبر شبكة في العالم من ضباط الاتصال من الدول الأعضاء في الاتحاد الأوروبي دورا مركزيا في تنسيق النشاط الدولي، وقد نظم مركز الجرائم الإلكترونية الأوروبي EC3 التابع لليوروبول 27 ورشة عمل وأربع جولات فنية مدتها أسبوع واحد لتطوير خيوط التحقيق استعدادا للمرحلة النهائية.
كما قدمت يوروبول أيضا الدعم التحليلي وتتبع التشفير والطب الشرعي للتحقيق، وسهلت تبادل المعلومات في إطار فريق العمل المشترك لمكافحة الجرائم الإلكترونية (J-CAT) الذي استضافته في مقرها الرئيسي. بالإضافة إلى ذلك، تم نشر ثلاثة خبراء من اليوروبول في مركز القيادة في لندن خلال مرحلة العمل، وفي الوقت الحاضر، أصبح قدر كبير من البيانات التي تم جمعها طوال التحقيق في حوزة سلطات إنفاذ القانون، حيث سيتم استخدام هذه البيانات لدعم الأنشطة العملياتية الدولية المستمرة التي تركز على استهداف قادة هذه المجموعة، بالإضافة إلى المطورين والشركات التابعة والبنية التحتية والأصول الإجرامية المرتبطة بهذه الأنشطة الإجرامية.
في المجمل، تم تبادل أكثر من 1000 رسالة تشغيلية بشأن هذه القضية عبر قناة المعلومات الآمنة التابعة لليوروبول SIENA، مما يجعلها واحدة من أكثر التحقيقات نشاطا في مركز الجرائم الأوروبي EC3، وقد تم فتح القضية في وكالة الاتحاد الأوروبي للتعاون في مجال العدالة الجنائية يوروجست في أبريل 2022 بناء على طلب السلطات الفرنسية، واستضافت الوكالة خمس اجتماعات تنسيقية لتسهيل التعاون القضائي والتحضير للعمل المشترك، وأظهر تحليل إضافي أجراه مركز الجرائم الإلكترونية الأوروبي التابع ليوروبول أيضا أن بعض الحسابات تم استخدامها لتنفيذ هجمات باستخدام متغيرات أخرى من برنامج الفدية.
وقد قدمت وزارة الخارجية الأمريكية مكافأة تصل إلى 10,000,000 دولار أمريكي للحصول على معلومات تؤدي إلى تحديد هوية أو موقع أي فرد يشغل منصبا قياديا في مجموعة الجريمة المنظمة لوك بيت، بالإضافة إلى ذلك، يتم تقديم عرض مكافأة يصل إلى 5,000,000 دولار أمريكي مقابل معلومات تؤدي إلى اعتقال و/أو إدانة أي فرد يتآمر للمشاركة في أنشطة برنامج الفدية أو يحاول المشاركة فيها.
وقد كشفت وزارة العدل اليوم عن لائحة اتهام تتهم المواطنين الروس أرتور سونجاتوف وإيفان كوندراتييف، المعروفين أيضا باسم “Bassterlord”، باستخدام متغير برنامج الفدية لوك بيت، وتشمل التهم السابقة الموجهة إلى الجهات الفاعلة في المجموعة المقرصنة، المرتبطة بهذه العملية، ما يلي:
نوفمبر 2022 – ميخائيل فاسيلييف
يونيو 2023 – رسلان ماجوميدوفيتش أستاميروف
مايو 2023 – ميخائيل بافلوفيتش ماتفييف (وازاواكا)
وقد فرض برنامج العقوبات المتعلقة بالإنترنت الذي ينفذه مكتب مراقبة الأصول الأجنبية الأمريكي OFAC عقوبات على الجهات التهديدية المسؤولة عن الأنشطة الخبيثة عبر الإنترنت والتي تنشأ من أو يوجهها أشخاص موجودون، كليا أو جزئيا، خارج الولايات المتحدة، وتمت معاقبة الجهات الفاعلة السيبرانية الخبيثة التالية لتورطها في برنامج الفدية لوك بيت، على الروسين اللذان تم ذكرهما سابقا إيفان كوندراتييف وأرتور سونجاتوف.
أصدر قضاة المحكمة القضائية بباريس ثلاثة أوامر اعتقال بحق ثلاثة أعضاء في شبكة الجرائم الإلكترونية لوك بيت، وتم توجيه التهم إلى مواطنين روسيين ومواطن بولندي، فقد أصدرت مذكرة اعتقال واحدة في نوفمبر 2022 ضد ممثل روسي وقد تم اعتقاله، وأصدرت في 20 فبراير 2024 مذكرة ضد ممثل بولندي لغسل الأموال مرتبط بـ 30 عملية دفع فدية، وقد تم القبض على هذا الشخص، وأيضا وأصدرت في 20 فبراير 2024 مذكرة ضد ممثل روسي وتمك اعتقاله، وبسبب الإطار القانوني الفرنسي المتعلق بسرية التحقيقات، لا يمكن الإعلان عن أي عنصر من عناصر تحديد الهوية في هذه المرحلة.
نفذ الفرع الميداني في المكتب المركزي للجرائم الإلكترونية في مدينة كراكوف البولندية عملية مستهدفة بناء على طلب السلطات القضائية الفرنسية للقبض على مشتبه به متورط في أكثر عمليات برامج الفدية نشاطا في العالم المصنفة حتى الآن، والذي سهل جمع المعلومات الاستخبارية المشتركة عبر الحدود التحديد الدقيق للشخص الذي يعتقد أنه قام بغسل جزء كبير من الأرباح التي حققتها مجموعة لوك بيت، ومن خلال التخطيط تبادل المعلومات بين الوكالات عبر مركز القيادة الافتراضي التابع لليوروبول والدعم، قامت السلطات سريعا بالقبض على المشتبه به، وذلك على الرغم من الفترة الزمنية القصيرة نسبيا على إنشاء الوحدة منذ عام ونصف، فإن ضباط المكتب المركزي للجرائم الإلكترونية هم شركاء متساوون في مكافحة الجرائم الإلكترونية الدولية الخطيرة، وبحسب اليوروبول فإن هذه العملية تعتبر شهادة على قوة التعاون العالمي ودعم سيادة القانون في عالم مترابط بشكل متزايد.
قامت السلطات الأوكرانية في مواجهة تحديات ما تواجهه من حرب مع روسيا، حيث أدت جهودهم التعاونية إلى النجاح في إلقاء القبض على المشتبه بهم في أوكرانيا، وعلى الرغم من القيود الهائلة التي فرضتها الحرب الروسية المستمرة على بلادها، استمرت السلطات المحلية في سعيها لتحقيق العدالة، وتجاوزت التعقيدات والتحديات الكامنة في مثل هذه البيئة المضطربة، خاصة فيما يتعلق بالأراضي المحتلة مؤقتا في شرق أوكرانيا. وفي ظل تصاعد التوترات والعقبات اللوجستية، واجه التحقيق العديد من العقبات التي هددت بعرقلة التقدم. ومع ذلك، من خلال التصميم الذي لا يتزعزع وسعة الحيلة، مضت السلطات قدما، وقامت بتكييف استراتيجياتها للتحايل على الشدائد التي يمثلها الصراع. أسفرت الجهود التعاونية عن نتائج ملموسة، وبلغت ذروتها في نجاح تفتيش المنازل وإجراء مقابلات مع المشتبه بهم في أوكرانيا ترنوبل بناء على طلب السلطات القضائية الفرنسية. وبحسب ما تقوله اليوروبول أن هذا الإنجاز يؤكد مرونة والتزام وكالات إنفاذ القانون الدولية بدعم سيادة القانون، حتى في مواجهة أصعب الظروف.
بدعم من اليوروبول، قامت الشرطة اليابانية بتطوير أداة استرداد مصممة لاستعادة الملفات المشفرة بواسطة برنامج الفدية لوك بيت 3، ولكي يعمل حل الاسترداد، يجب تشغيل هذا الملف الثنائي على جهاز الضحية، والذي سيؤدي ذلك إلى إجراء تقييم أولي على جهازك، ومن أجل إنتاج هذه الأداة، ركزت وكالة الشرطة اليابانية قدرا كبيرا من الخبرة الفنية للكشف عن بنية التشفير بناء على الطب الشرعي الهندسي العكسي لأكثر من ثلاثة أشهر. تم اختبار هذا الحل داخليًا وتم بذل جهود كبيرة لإتاحته خلال عملية كرونوس المشتركة.
ودعما للجهود الفنية التي تبذلها وكالة الشرطة، قدمت يوروبول خبراء لتكييف هذا الحل مع مشروع “لا برنامج فدية بعد ذلك”، وذلك عبر موقع NoMoreRansom.org، والموقع متاح بـ37 لغة ويحتوي على أكثر من 120 حلا قادرا على فك تشفير أكثر من 150 نوعا مختلفا من برنامج الفدية، وقد استفاد حتى الآن أكثر من 6 ملايين ضحية في جميع أنحاء العالم من هذا المشروع.
قامت المباحث الفيدرالية الأمريكية بالطلب من الضحايا الأمريكيون والضحايا غير الأمريكيين الذين يرغبون في المشاركة في محاكمات لوك بيت الأمريكية وذلك من خلال الاستمارة عبر الرابط التالي https://lockbitvictims.ic3.gov.
وقامت أيضا مثيلاتها في فريق سلطات إنفاذ القانون كذلك لمساعدة الجهات التي ابتزت والتي تم سرقة بياناتها لأجل العمل على إرجاعها، وذلك بحسب كل حالة على حدة حيث لكل منها كود مختلف في تشفير البيانات، لأجل العمل على فكها.
وقد تم أيضا إنشاء برنامج Cyber Choices لمساعدة الأشخاص على اتخاذ خيارات مستنيرة واستخدام مهاراتهم الإلكترونية بشكل قانوني، حيث تم وضع برنامج وطني في المملكة المتحدة تتولى تنسيقه الوكالة الوطنية لمكافحة الجريمة ويتم تقديمه بواسطة فرق Cyber Choices ضمن وحدات الجريمة المنظمة الإقليمية في المملكة المتحدة وفرق الشرطة الإلكترونية التابعة لقوات الشرطة المحلية.
ويهدف البرنامج إلى شرح الفرق بين النشاط السيبراني القانوني وغير القانوني، وتشجيع الأفراد على اتخاذ خيارات مستنيرة في استخدامهم للتقنية، وزيادة الوعي بقانون إساءة استخدام الحاسوب لعام 1990 في البلاد، وأيضا تعزيز الفرص السيبرانية الإيجابية والقانونية.
تطلبت إزالة هذه الخوادم تنسيقا قويا بين الولايات المتحدة وهولندا وألمانيا وفنلندا وفرنسا وسويسرا وأستراليا والمملكة المتحدة، وبالتالي أصبح تفكيك لوك بيت ممكنا من خلال التعاون السلس عبر الحدود، والاستفادة من إجراءات معاهدة المساعدة القانونية المتبادلة MLAT في جميع أنحاء العالم وطلبات الحفظ على مدار الساعة طوال أيام الأسبوع والتي يسرتها اتفاقية بودابست.
وأردفت الوكالة أنه تم تجاوز هذا الجهد التعاوني الحدود الجغرافية، حيث وحدت وكالات إنفاذ القانون من مختلف البلدان مواردها وخبراتها لدعم تعطيل البنية التحتية الرئيسية التي تقودها الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة NCA. مكنت هذه الخوادم من شن الهجمات الإلكترونية الأولية من قبل الشركات التابعة ودعمت سرقة بيانات الضحايا ومعالجتها إلى خوادم Stealbit.
وتقول الوكالة أنه تم سحب كمية كبيرة من البيانات من منصة لوك بيت قبل أن يتم إتلافها بالكامل. باستخدام هذه البيانات، ستقوم NCA وشركاؤها بتنسيق المزيد من الاستفسارات لتحديد المتسللين الذين يدفعون مقابل الانضمام إلى شركة لوك بيت.
تهدف قصة النجاح هذه إلى تسليط الضوء على الإنجازات والتحديات التي واجهها فريق استخبارات التهديدات لدينا على مدار السنوات الأربع الماضية أثناء البحث في واحدة من أخطر عصابات الجرائم الإلكترونية التي كانت موجودة على الإطلاق في جميع أنحاء العالم.
في حين أن الجهود المرتبطة بعملية كرونوس تمثل خطوة كبيرة نحو منع الجرائم الإلكترونية الدولية، فقد ظهرت العديد من مجموعات برامج الفدية في الماضي من بين الرماد في شكل مجموعات جديدة تضم نفس الأعضاء، ولكن تحت أسماء مختلفة وبأدوات محسنة.
قالت آشلي بينج، مدير استخبارات التهديدات في المختبرات العكسية الأمريكية ReversingLabs، إن نهاية لوك بيت لن تكون نهاية برامج الفدية، وأضافت
“إن عمليات الإزالة هذه مؤثرة لأنها تعطل عمليات عصابات برامج الفدية لبعض الوقت، ولكن حتما، سيظهر شيء جديد في مكان لوك بيت.”
فعلى سبيل المثال، أوقفت عصابة برنامج الفدية كونتي – التي كانت تعتبر ذات يوم مجموعة رائدة في جرائم الإنترنت – عملياتها بعد أن تم تسريب الدردشات الخاصة للمجموعة من قبل أحد أعضائها إنتقاما للحرب الحاصلة في أوكرانيا. بعد فترة وجيزة من سقوط مجموعة كونتي، اكتشف العديد من الباحثين في مجال التهديدات أن مجموعة من برامج الفدية التي لم يسبق لها مثيل في أواخر عام 2022 تُعرف باسم بلاك باستا Black Basta، ومن خلال تحليل العديد من هجماتها، إعتقد الخبراء أن المجموعة التي تم إسقاطها ليست إلا فرعا من مجموعة كونتي الأصلية، وأن ذلك بناء على أوجه التشابه بين تكتيكات المجموعتين وتقنياتهما وإجراءاتهما.
على الرغم من حملة الإزالة الناجحة لعملية كرونوس الدولية، إلا أن من يتتبع هذه المجموعات مجموعات برامج الفدية حتى الآن إلى ظهور فرع من لوك بيت في المستقبل، ومن الواضح أن من تم القبض عليهم ليس جميعهم، وبحسب سلطات إنفاذ القانون العالمي فإنه يتم البحث عن زعماء هذه المجموعة الخبيثة، ولكن من الواضح أن العمل على ضرب جميع أعضاء المجموعة صعب المنال إن لم يكن مستحيلا.
ففي 25 فبراير 2024 يتم تناقل أنباء أن من صمم LockBit Ransomware Kingpin قد تعامل مع الشرطة، وذلك بأن الشخص الذي يقف وراء تقديم برنامج الفدية لوك بيت كخدمة، والمعروفة باسم LockBitSupp، قد انخرط مع سلطات إنفاذ القانون الدولية في أعقاب عملية القمع الدولية الكبيرة على برنامج الفدية والتي سميت بكرونوس.
وفي 26 فبراير 2024، يتم تناول أنباء عن أن لوك بيت قد عادت، حيث كانت هناك دعوات لشن هجمات على الحكومة الأمريكية، وبالفعل عادت مجموعة برنامج الفدية لوك بيت للظهور مرة أخرى على شبكة الإنترنت المظلمة ببنية تحتية جديدة بعد وقت قصير من استيلاء سلطات إنفاذ القانون على خوادمها، وقد أدرجت المجموعة 12 ضحية جديدة على بوابة تسريب البيانات الخاصة بها وقد ناقشت عملية الاستيلاء على مواقعها الإلكترونية في الإنترنت المظلم، وأنها عزت حدوث ما حصل إلى استغلال محتمل لثغرة PHP أدى إلى سيطرة سلطات إنفاذ القانون الدولية عليها واستغلالها للوصول إلى بيتها التحتية.
وفي تصريح هو الأول من نوعه من بعد العودة، قال المسؤول عن لوك بيت LockBit الذي لم يعرف اسمه في رسالة مطولة، إن بعض مواقع الويب الخاصة بهم تمت مصادرتها من خلال استغلال عيب PHP بالغ الأهمية يتم تتبعه باسم CVE-2023-3824، معترفا بأنهم لم يقوموا بتحديث PHP بسبب “الإهمال الشخصي والخطأ، وعدم المسؤولية”، وقال أيضا “أدرك أنه ربما لم يكن هذا هو CVE، ولكن شيئا آخر مثل زيرو داي، – أو بمعنى آخر تم اختراق النظام الذي تم برمجته دون تسجيل الاختراق فب وقت سابق – بلغة PHP، لكن لا يمكنني أن أكون متأكدا بنسبة 100%، لأن الإصدار المثبت على خوادمي كان معروفا بالفعل بوجود ثغرة أمنية معروفة، لذلك أشاروا -سلطات إنفاذ القانون- إلى أن هذه هي على الأرجح الطريقة التي تم بها الوصول إلى خوادم لوحة الدردشة والإدارة الخاصة بالضحايا وخادم المدونة.
الآن ها هي لوك بيت مازالت فعالة، حيث عادت في الفترة ما بين أربعة أيام إلى أسبوع لتظهر من جديد في الإنترنت المظلم وعلى عدة أماكن، وبالرغم من ما قامت به سلطات إنفاذ الأمن وما تقوم به من عمليات تعطيل لواجهات عديدة للمنصة المقرصنة، إلا أن المجموعة مازالت تعمل على استمرارية وجودها وتعلمها من الأخطاء التي ارتكبتها، وكأنها تقول أنه لم يتم السيطرة عليها، وأن وجودها سيظل مستمر!
المصادر:
https://ransomwareattacks.halcyon.ai/news/ransomware-on-the-move-lockbit-knight-bianlian-8base
https://ransomwareattacks.halcyon.ai/news/ransomware-on-the-move-lockbit-black-basta-bianlian-8base
https://home.treasury.gov/news/press-releases/jy2114
https://cbzc.policja.gov.pl/bzc/aktualnosci/280,CBZC-w-miedzynarodowej-operacji-CRONOS.html
https://www.gov.uk/report-cyber
https://lockbitvictims.ic3.gov
https://www.europol.europa.eu/report-a-crime/report-cybercrime-online
https://www.cybermalveillance.gouv.fr/diagnostic/accueil
https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
https://www.ncsc.admin.ch/ncsc/en/home.html
https://www.rcmp-grc.gc.ca/en/have-been-a-victim-cybercrime
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html
https://polisen.se/utsatt-for-brott/polisanmalan/
https://www.cyber.gov.au/report-and-recover/report
https://www.politie.nl/informatie/ik-ben-slachtoffer-van-ransomware.-wat-moet-ik-doen.html
https://www.nomoreransom.org/en/decryption-tools.html
https://www.secureworks.com/blog/lockbit-in-action
https://www.reversinglabs.com/blog/the-lockbit-takedown-what-we-know
https://thehackernews.com/2024/02/lockbit-ransomware-group-resurfaces.html