قضى مكتب التحقيقات الفيدرالي (FBI) معظم يوم الثلاثاء في معركة شد الحبل عبر الإنترنت مع إحدى مجموعات برامج الفدية الأكثر عدوانية على الإنترنت بعد السيطرة على البنية التحتية التي استخدمتها المجموعة لتوليد أكثر من 300 مليون دولار من المدفوعات غير المشروعة حتى الآن.
في وقت مبكر من صباح يوم الثلاثاء، بدأ فجأة موقع الويب المظلم التابع لشركة AlphV، وهي مجموعة برامج الفدية المعروفة أيضًا باسم BlackCat، في عرض لافتة تقول إن مكتب التحقيقات الفيدرالي استولى عليها كجزء من إجراء منسق لإنفاذ القانون. لقد اختفى كل المحتوى الذي نشره AlphV على الموقع سابقًا.
وفي نفس الوقت تقريبًا، وزارة العدل قال لقد عطلت عمليات AlphV من خلال إطلاق أداة برمجية من شأنها أن تسمح لما يقرب من 500 من ضحايا AlphV باستعادة أنظمتهم وبياناتهم. وقال مسؤولو وزارة العدل إن شركة AlphV ابتزت ما يقرب من 300 مليون دولار من 1000 ضحية.
ان إفادة خطية وفي الوقت نفسه، كشفت محكمة فيدرالية في فلوريدا، أن التعطيل شمل حصول عملاء مكتب التحقيقات الفيدرالي على 946 مفتاحًا خاصًا يستخدم لاستضافة مواقع اتصالات الضحايا. وقالت الوثيقة القانونية إن المفاتيح تم الحصول عليها بمساعدة مصدر بشري سري “استجاب لإعلان تم نشره على منتدى عبر الإنترنت يمكن الوصول إليه بشكل عام يطلب المتقدمين لشغل وظائف تابعة لشركة Blackcat”.
وقالت نائبة المدعي العام ليزا موناكو في إعلان يوم الثلاثاء: “من خلال تعطيل مجموعة BlackCat لبرامج الفدية، قامت وزارة العدل مرة أخرى باختراق المتسللين”. “بفضل أداة فك التشفير التي قدمها مكتب التحقيقات الفيدرالي لمئات من ضحايا برامج الفدية في جميع أنحاء العالم، تمكنت الشركات والمدارس من إعادة فتح أبوابها، وتمكنت خدمات الرعاية الصحية والطوارئ من العودة إلى الإنترنت. سنواصل إعطاء الأولوية للاضطرابات ووضع الضحايا في قلب استراتيجيتنا لتفكيك النظام البيئي الذي يغذي الجرائم الإلكترونية.
وفي غضون ساعات، اختفى إشعار الضبط الذي أصدره مكتب التحقيقات الفيدرالي والمعروض على موقع الويب المظلم AlphV. وحل مكانه إشعار جديد ينص على ما يلي: “لم يتم الاستيلاء على هذا الموقع”. وقد قلل الإشعار الجديد، الذي كتبه مسؤولو AlphV، من أهمية الإجراء الذي اتخذه مكتب التحقيقات الفيدرالي. على الرغم من عدم التشكيك في أن أداة فك التشفير نجحت مع 400 ضحية، إلا أن مسؤولي AlphV قالوا إن التعطيل سيمنع فك تشفير البيانات التي تخص 3000 ضحية أخرى.
“الآن بسببهم، لن تتلقى أكثر من 3000 شركة مفاتيحها أبدًا.”
مع مرور الساعات، تنازع مكتب التحقيقات الفيدرالي وAlphV للسيطرة على موقع الويب المظلم، حيث قام كل منهما باستبدال إشعارات الآخر.
ووصف أحد الباحثين الصراع المستمر بأنه “قاطرة تور“، في إشارة إلى Tor، شبكة الخوادم التي تسمح للأشخاص بتصفح مواقع الويب ونشرها بشكل مجهول. مثل معظم مجموعات برامج الفدية، تستضيف AlphV مواقعها عبر Tor. ولا يمنع هذا الترتيب محققي إنفاذ القانون من التعرف على أعضاء المجموعة فحسب، بل يعيق المحققين أيضًا من الحصول على أوامر من المحكمة تجبر مضيف الويب على تسليم السيطرة على الموقع.
الطريقة الوحيدة للتحكم في عنوان Tor هي امتلاك مفتاح تشفير خاص مخصص. وبمجرد حصول مكتب التحقيقات الفيدرالي عليها، تمكن المحققون من نشر إشعار الضبط يوم الثلاثاء إليه. وبما أن AlphV احتفظت أيضًا بحيازة المفتاح، فقد كان لأعضاء المجموعة أيضًا الحرية في نشر المحتوى الخاص بهم. نظرًا لأن Tor يجعل من المستحيل تغيير المفتاح الخاص المطابق للعنوان، لم يتمكن أي من الطرفين من قفل الآخر.
ومع وصول كل جانب إلى طريق مسدود، لجأت AlphV إلى إزالة بعض القيود التي فرضتها سابقًا على الشركات التابعة. في ظل نموذج برامج الفدية الشائعة كخدمة، فإن الشركات التابعة هي التي تقوم فعليًا باختراق الضحايا. عند نجاحها، تستخدم الشركات التابعة برنامج الفدية AlphV والبنية التحتية لتشفير البيانات ثم التفاوض وتسهيل الدفع عن طريق عملة البيتكوين أو أي عملة مشفرة أخرى.
حتى الآن، وضعت AlphV قواعد على الشركات التابعة تمنعها من استهداف المستشفيات والبنية التحتية الحيوية. الآن، لم تعد هذه القواعد تنطبق إلا إذا كان الضحية موجودًا في كومنولث الدول المستقلة – وهي قائمة الدول التي كانت ذات يوم جزءًا من الاتحاد السوفيتي السابق.
وجاء في إشعار AlphV: “بسبب تصرفاتهم، نحن نقدم قواعد جديدة، أو بالأحرى، نحن نزيل جميع القواعد باستثناء واحدة، لا يمكنك المساس برابطة الدول المستقلة، يمكنك الآن حظر المستشفيات ومحطات الطاقة النووية وأي شيء وفي أي مكان”. ذكر الإشعار أن AlphV كانت تسمح أيضًا للشركات التابعة بالاحتفاظ بنسبة 90 بالمائة من أي مدفوعات فدية تحصل عليها، وأن الشركات التابعة “VIP” ستتلقى برنامجًا خاصًا في مراكز بيانات منفصلة منفصلة. ومن المحتمل أن تكون هذه الخطوة محاولة لوقف الانشقاق المحتمل من قبل الشركات التابعة المذعورة. من خلال وصول مكتب التحقيقات الفيدرالي إلى البنية التحتية لـAlphV.
وقد دفع هذا التناقض البعض إلى القول بأن التعطيل فشل، حيث تحتفظ AlphV بالسيطرة على موقعها وتستمر في امتلاك البيانات التي سرقتها من الضحايا. وفي مناقشة على وسائل التواصل الاجتماعي مع أحد هؤلاء المنتقدين، رد خبير برامج الفدية آلان ليسكا.
وكتب ليسكا، باحث التهديدات في شركة الأمن Recorded Future: “لا يزال الخادم وجميع بياناته في حوزة مكتب التحقيقات الفيدرالي، ولن يستعيد ALPHV شيئًا من ذلك”.
“لكن، أنت على حق وأنا مخطئ بنسبة 100٪. أنا أشجعك، وجميع مجموعات برامج الفدية، على التسجيل لتصبح عضوًا تابعًا لـ ALPHV الآن، فهو آمن بالتأكيد. افعلها يا دجاج!