Hive، فايروس الفدية، خلية النحل
فقد أعلنت وزارة العدل عن حملتها التي استمرت لأشهر ضد العصابة المنظمة Hive، والتي استهدفت أكثر من 1500 ضحية في أكثر من 80 دولة حول العالم، بما في ذلك المستشفيات ومقاطعات المدارس والشركات المالية والبنية التحتية الحيوية، والتي تقوم بإعطاء خدمة طلبات الفدية،حيث استخدمت العصابة نموذج RaaS وهي اختصار لجملة ransomware-as-a-service، وهو نموذج قائم على الاشتراك حيث يقوم المطورون بتطوير سلسلة من برامج الفدية وإنشاء واجهة سهلة الاستخدام لتشغيلها، ثم تجنيد الشركات التي تقوم بالاشتراك لنشر برامج الفدية ضد الضحايا، ثم يحصلوا على نسبة مئوية من كل دفعة فدية ناجحة، ويقوموا بعرض البيانات للبيع في الإنترنت المظلم، أو نشرها عبر مواقع مشاركة ملفات مجهولة للكشف عن البيانات المسربة.
منذ أواخر تموز/ يوليو 2022، اخترق مكتب التحقيقات الفيدرالي شبكات الحاسوب الخاصة بـ Hive، واستولى على مفاتيح فك التشفير الخاصة بها، وقدمها للضحايا في جميع أنحاء العالم، مما منع الضحايا من دفع 130
منذ التسلل إلى شبكة Hive في يوليو 2022 من قبل مكتب التحقيقات الفيدرالي، فقد قدم أكثر من 300 مفتاح فك تشفير لضحايا المجموعة المقرصنة الذين تعرضوا للهجوم، بالإضافة إلى ذلك، وزع مكتب التحقيقات الفيدرالي أكثر من 1000 مفتاح فك تشفير إضافي لضحايا سابقين للمجموعة المعتدية، وقد أعلنت الوزارة أنه وبالتنسيق مع سلطات إنفاذ القانون الألمانية، وذلك من خلال الشرطة الجنائية الفيدرالية الألمانية، ومقر شرطة رويتلينجن -CID Esslingen، ووحدة جرائم التكنولوجيا العالية الوطنية الهولندية، أنها قد سيطرت على موقع العصابة المعنية.
وقال المدعي العام ميريك جارلاند: “قامت وزارة العدل الليلة الماضية بتفكيك شبكة دولية لبرامج الفدية مسؤولة عن ابتزاز ومحاولة ابتزاز مئات الملايين من الدولارات من الضحايا في الولايات المتحدة وحول العالم”، وقال: “الجريمة الإلكترونية هي تهديد دائم التطور، ولكن كما قلت من قبل، لن تدّخر وزارة العدل أي موارد لتحديد وتقديم أي شخص في أي مكان يستهدف الولايات المتحدة بهجوم برامج الفدية إلى العدالة”. “سنواصل العمل لمنع هذه الهجمات وتقديم الدعم للضحايا الذين تم استهدافهم”.
وبالتعاون مع شركائنا الدوليين، سنواصل تعطيل الشبكات الإجرامية التي تنشر هذه الهجمات”، وأضاف: “يظهر التعطيل المنسق لشبكات الحاسوب Hive، وبعد شهور من فك تشفير للضحايا المنتشرين حول العالم، وما يمكننا تحقيقه من خلال الجمع بين البحث الدؤوب عن معلومات تقنية مفيدة لمشاركتها مع الضحايا مع التحقيق الذي يهدف إلى تطوير العمليات التي تصيب خصومنا بشدة”، وقال مدير مكتب التحقيقات الفدرالي كريستوفر وراي: “سيواصل مكتب التحقيقات الفيدرالي FBI الاستفادة من أدواتنا الاستخباراتية وإنفاذ القانون، والتواجد العالمي، والشراكات لمواجهة مجرمي الإنترنت الذين يستهدفون الشركات والمؤسسات الأمريكية”.
ويحقق مكتب التحقيقات الفيدرالي الميداني بمدينة أورلاندو في القضية، ويتولى محاميان من قسم جرائم الحاسوب والملكية الفكرية في القسم الجنائي ومساعد المدعي العام الأمريكي تشونسي برات للمنطقة الوسطى بفلوريدا في ذلك.
منذ يونيو 2021، استهدفت مجموعة Hive ransomware أكثر من 1500 ضحية حول العالم وتلقوا أكثر من 100 مليون دولار من مدفوعات الفدية، وقد تسببت هجمات فايروس الفدية HIVE في حدوث اضطرابات كبيرة في العمليات اليومية للضحايا حول العالم، وأثرت على الاستجابات لوباء COVID-19، وفي إحدى الحالات، كان على مستشفى هاجمه Hive ransomware اللجوء إلى الأساليب التقليدية لعلاج المرضى المتواجدين فيه، لأنه لم يكن قادرا على قبول مرضى جدد فورا بعد الهجوم.
وقد استخدمت المجموعة المقرصنة Hive نموذج فايروس فدية كخدمة Ransomware as a Service والتعريف بـ RaaS هو نموذج قائم على الاشتراك حيث يقوم المطورون أو المسؤولون بتطوير سلسلة من برامج الفدية
ثم حصل هؤلاء الوكلاء والشركاء على نسبة مئوية من كل دفعة فدية ناجحة، ثم سعى كل شريك أو وكيل للحصول على فدية لكل من مفتاح فك التشفير الضروري لفك تشفير نظام الضحية، حيث يقوم بسرقة البيانات الحساسة أو سرقتها، ثم يطلب فدية لكل من مفتاح فك التشفير الضروري لفك تشفير نظام الضحية، ووعد بعدم نشر البيانات المسروقة.
كثير من الذين يبرمجمون هذه البرمجيات الخبيثة لا يفون بعهودهم، نعم معظمهم يقومون بذلك، ولكن لا تضمن عدم قيامهم بالإيفاء، فمن الممكن وجود برمجيات موجودة قد تقوم بالتشفير مرة أخرى، وبالتالي يعتبرك مصدرا هاما لرزقه!.
كثيرا ما استهدفت الجهات الفاعلة في الخلية البيانات الأكثر حساسية في نظام الضحية لزيادة الضغط على الدفع، بعد أن تدفع الضحية الفدية المطلوبة، يقسم المنتسبون والمسؤولون الفدية 80/20، وقد نشرت المجموعة المجرمة Hive بيانات الضحايا الذين لا يدفعون على موقع Hive Leak.
وفقا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية CISA، اكتسب الوكلاء والشركاء التابعين لـ Hive وصولا أوليا إلى شبكات الضحايا من خلال عدد من الطرق، وذلك من خلال عمليات تسجيل الدخول أحادية العامل عبر بروتوكول سطح المكتب البعيد RDP، والشبكات الخاصة الافتراضية VPN، وبروتوكولات اتصال الشبكة عن بعد RDP، واستغلال ثغرات FortiToken من شركة فروتينت، والتي تسمح لك من تمكين المصادقة الثنائية بسهولة للوصول إلى الشبكات وأجهزة الأمان المحمية. أيضا إرسال رسائل بريد إلكتروني لتصيد أي ضحية من خلال مرفقات ضارة موجودة بها، وقد قالت الوكالة أنه يجب على الضحايا الاتصال بالمكتب الميداني لمكتب التحقيقات الفيدرالي المحلي للحصول على مزيد من المعلومات.
ونقلت وكالة الأنباء الألمانية dpa عن مكتب المدعي العام في شتوتغارت قوله، إن المتخصصين في مجال الإنترنت بمدينة إيسلينجن الجنوبية الشرقية لشتوتغارت، وقد كانوا حاسمين في اختراق البنية التحتية لتكنولوجيا المعلومات للمجموعة المستهدفة HIVE بعد أن تعرضت شركة محلية للابتزاز والسرقة.
وقال الشرطة الأوروبية EUROPOL في بيان إن الشركات في أكثر من 80 دولة، بما في ذلك شركات النفط متعددة الجنسيات تعرضت للاختراق، وقالت إنها ساعدت في تحليل العملات المشفرة والبرامج الضارة وغيرها من التحليلات، وأن وكالات إنفاذ القانون من 13 دولة شاركت في هذا الجهد.
تعترف وزارة العدل الأمريكية أيضا بالتعاون الهام بين مقر شرطة رويتلينجن الألمانية – إدارة البحث الجنائي إسلنغن، والشرطة الجنائية الفيدرالية الألمانية، واليوروبول، وهولندا بوليتي، وقد تم تقديم مساعدة كبيرة من قبل الخدمة السرية الأمريكية، مكتب المدعي العام الأمريكي للمنطقة الشرقية لفرجينيا، ومكتب المدعي العام الأمريكي للمنطقة الوسطى من كاليفورنيا. كما قدم مكتب الشؤون الدولية التابع لوزارة العدل، ومسؤول الاتصال الدولي للعمليات الإلكترونية مساعدة كبيرة.
بالإضافة إلى ذلك، قدمت سلطات إنفاذ القانون الأجنبية التالية مساعدة ودعم كبيرين وهي: شرطة بيل الإقليمية الكندية وشرطة الخيالة الكندية الملكية، المديرية الفرنسية المركزية للشرطة القضائية، مكتب الشرطة الجنائية الليتوانية، دائرة التحقيقات الجنائية الوطنية النرويجية بالتعاون مع منطقة شرطة أوسلو، Polícia Judiciária البرتغالية، المديرية الرومانية لمكافحة الجريمة المنظمة، Spanish Policia Nacional، هيئة الشرطة السويدية، والوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة.
قد يراود البعض السؤال التالي، لماذا تم وضع صورتين تتبادلان الظهور كل ثلاث ثواني واحدة بالإنجليزية، والأخرى بالروسية؟!، قد نفهم الأمر من خلال الصورة الخاصة باللغة الإنجليزية، ولكن ماذا عن الصورة التي باللغة الروسية، وما المغزى منها؟