أشخاص يسيرون أمام فرع للبنك الصناعي والتجاري الصيني (ICBC) في بكين، الصين في 1 أبريل 2019. الصورة ملتقطة في 1 أبريل 2019. صورة لرويترز/فلورنس لو/ملف تحصل على حقوق الترخيص
سان فرانسيسكو/لندن 10 نوفمبر (رويترز) – قامت مجموعة إجرامية إلكترونية تدعى لوكبيت، قالت يوم الجمعة إنها اخترقت البنك الصناعي والتجاري الصيني (ICBC)، باختراق بعض أكبر المؤسسات في العالم في الأشهر الأخيرة، وسرقت وتسريب بياناتها. بيانات حساسة إذا لم يدفعوا الفدية. وفيما يلي بعض التفاصيل عن المجموعة:
من أين يأتي قفل القفل؟
تم اكتشاف Lockbit في عام 2020 عندما تم العثور على برنامج ضار يحمل اسمه في منتديات الجرائم الإلكترونية باللغة الروسية، مما دفع بعض المحللين الأمنيين إلى الاعتقاد بأن العصابة مقرها في روسيا. ومع ذلك، لم تعلن العصابة دعمها لأي حكومة، ولم تنسبها أي حكومة رسميًا إلى دولة قومية.
تقول العصابة على مدونتها على الإنترنت المظلم: “نحن موجودون في هولندا، غير سياسيين تمامًا ولا نهتم إلا بالمال”.
وفي غضون ثلاث سنوات فقط، أصبحت أكبر تهديد لبرامج الفدية في العالم، وفقًا لمسؤولين أمريكيين. لم يكن الأمر أكثر تدميرا مما كان عليه في الولايات المتحدة، حيث ضرب أكثر من 1700 منظمة أمريكية في كل صناعة تقريبا من الخدمات المالية والمواد الغذائية إلى المدارس والنقل والإدارات الحكومية.
ومن بين أحدث ضحاياها شركة بوينج العملاقة للدفاع والفضاء. وفي يوم الجمعة، قامت Lockbit بتسريب ذاكرة تخزين مؤقت للبيانات الداخلية التي حصلت عليها من خلال اختراق أنظمة Boeing. وفي وقت سابق من العام، أدى اختراق العصابة لمجموعة خدمات التداول المالي ION إلى تعطيل العمليات لدى العملاء الذين شملوا بعضًا من أكبر البنوك وشركات السمسرة وصناديق التحوط في العالم.
كيف تستهدف LOCKBIT المنظمات؟
تقوم عصابة الجرائم الإلكترونية بإصابة نظام المنظمة الضحية ببرامج الفدية – وهي برامج ضارة تقوم بتشفير البيانات – ثم تجبر الأهداف على دفع فدية لفك تشفيرها أو فتحها. عادة ما يتم طلب هذه الفدية على شكل عملة مشفرة، وهو ما يصعب تتبعه ويمنح المتلقي عدم الكشف عن هويته.
ويحاول مسؤولون أمريكيون ومسؤولون آخرون في تحالف يضم 40 دولة محاولة القضاء على الآفة العالمية لبرامج الفدية من خلال تبادل المعلومات الاستخبارية بين الدول حول عناوين محفظة العملات المشفرة لهؤلاء المجرمين.
على شبكة الإنترنت المظلمة، تعرض مدونة Lockbit معرضًا متزايدًا للمنظمات الضحية التي يتم تحديثها يوميًا تقريبًا. بجانب أسمائهم توجد ساعات رقمية توضح عدد الأيام المتبقية للموعد النهائي الممنوح لكل منظمة لتقديم دفع الفدية، وفي حالة عدم القيام بذلك، تنشر العصابة البيانات الحساسة التي جمعتها.
غالبًا ما تطلب المنظمات المتضررة مساعدة شركات الأمن السيبراني لتحديد البيانات التي تم تسريبها والتفاوض بشأن مبالغ الفدية مع المتسللين. وعادة ما تظل مثل هذه المحادثات التي تجري خلف الكواليس خاصة ويمكن أن تستغرق في بعض الأحيان أيامًا أو أسابيع، وفقًا لمحللين أمنيين.
من الشائع ألا تظهر بعض أسماء الضحايا على مدونة Lockbit إذا تم التهديد بشكل خاص. ولم يتم إدراج الوحدة الأمريكية التابعة للبنك الصناعي والتجاري الصيني، والتي قالت إنها تعمل على التعافي من الاختراق، في مدونة Lockbit يوم الجمعة.
كيف يعمل LOCKBIT؟
يعتمد نجاح Lockbit جزئيًا على ما يسمى بـ “الشركات التابعة” لها – وهي مجموعات إجرامية متشابهة يتم تجنيدها لشن هجمات باستخدام أدوات الابتزاز الرقمي الخاصة بـ Lockbit.
وتفتخر العصابة على موقعها الإلكتروني بنجاحاتها في اختراق منظمات مختلفة وتضع مجموعة مفصلة من القواعد لمجرمي الإنترنت الذين قد يقدمون “نموذج طلب” للعمل معهم. تقول إحدى هذه القواعد: “اطلب من أصدقائك أو معارفك الذين يعملون معنا بالفعل أن يشهدوا لك”.
تجعل شبكة التحالفات هذه بين مجموعات مجرمي الإنترنت من الصعب تتبع نشاط القرصنة ومحاولات فدية الضحايا، نظرًا لأن تكتيكاتهم وتقنياتهم يمكن أن تختلف مع كل هجوم.
(تغطية صحفية زيبا صديقي في سان فرانسيسكو وجيمس بيرسون في لندن – إعداد محمد للنشرة العربية) تحرير رود نيكل
معاييرنا: مبادئ الثقة في طومسون رويترز.
