تغيير هجوم برامج الفدية الخاصة بالرعاية الصحية: عاد قراصنة BlackCat سريعًا بعد إفلاس مكتب التحقيقات الفيدرالي
قبل ستة أيام من عيد الميلاد، أعلنت وزارة العدل الأمريكية بصوت عالٍ فوزها في المعركة المستمرة ضد آفة برامج الفدية: استهدفت عملية دولية بقيادة مكتب التحقيقات الفيدرالي مجموعة القرصنة سيئة السمعة المعروفة باسم BlackCat أو AlphV، وأطلقت مفاتيح فك التشفير لإحباط الفدية التي طلبتها. محاولات ضد مئات الضحايا والاستيلاء على مواقع الويب المظلمة التي استخدمتها لتهديدهم وابتزازهم. وقالت نائبة المدعي العام ليزا موناكو في بيان: “من خلال تعطيل مجموعة BlackCat لبرامج الفدية، قامت وزارة العدل مرة أخرى باختراق المتسللين”.
ومع ذلك، بعد شهرين وأسبوع واحد، لا يبدو أن هؤلاء المتسللين “مضطربون” بشكل خاص. على مدار الأيام السبعة الماضية وحتى الآن، احتجزت شركة BlackCat الشركة الطبية Change Healthcare، مما أدى إلى شل برمجياتها في المستشفيات والصيدليات في جميع أنحاء الولايات المتحدة، مما أدى إلى تأخير وصفات الأدوية لعدد لا يحصى من المرضى.
يمثل الانقطاع المستمر في Change Healthcare، والذي ذكرت رويترز لأول مرة أنه هجوم BlackCat، حادثة مروعة بشكل خاص في وباء برامج الفدية، ليس فقط بسبب خطورته وطوله والتأثير المحتمل على صحة الضحايا. يقول محللو تتبع برامج الفدية إن هذا يوضح أيضًا كيف أن انتصارات سلطات إنفاذ القانون ضد مجموعات برامج الفدية تبدو قصيرة الأجل بشكل متزايد، حيث يقوم المتسللون الذين تستهدفهم سلطات إنفاذ القانون في عمليات تفتيش منسقة بعناية بإعادة بناء هجماتهم واستئنافها مع الإفلات من العقاب.
يقول ألان ليسكا، الباحث الذي يركز على برامج الفدية في شركة الأمن السيبراني Recorded Future: “نظرًا لأننا لا نستطيع القبض على المشغلين الأساسيين الموجودين في روسيا أو في المناطق التي لا تتعاون مع سلطات إنفاذ القانون، فلا يمكننا إيقافهم”. بدلاً من ذلك، يقول ليسكا، كان على سلطات إنفاذ القانون في كثير من الأحيان أن تكتفي بقضاء أشهر أو سنوات في ترتيب عمليات الإزالة التي تستهدف البنية التحتية أو مساعدة الضحايا، ولكن دون وضع اليد على مرتكبي الهجمات. تقول ليسكا: “يحتاج ممثلو التهديد فقط إلى إعادة تجميع صفوفهم، وتناول المشروبات الكحولية لقضاء عطلة نهاية الأسبوع، ثم البدء في العودة فورًا”.
وفي عملية إفلاس أخرى أحدث، قادت وكالة الجريمة الوطنية في المملكة المتحدة الأسبوع الماضي جهود إزالة واسعة النطاق ضد مجموعة Lockbit Ransomware سيئة السمعة، حيث اختطفت بنيتها التحتية، واستولت على العديد من محافظ العملات المشفرة الخاصة بها، وأزالت مواقع الويب المظلمة الخاصة بها، وحتى حصلت على معلومات حول عملياتها. المشغلين والشركاء. ومع ذلك، بعد أقل من أسبوع، أطلقت Lockbit بالفعل موقعًا جديدًا على الويب مظلمًا حيث تواصل ابتزاز ضحاياها، وتعرض مؤقتات للعد التنازلي لكل موقع تشير إلى الأيام أو الساعات المتبقية قبل أن تقوم بإلقاء بياناتهم المسروقة عبر الإنترنت.
لا شيء من هذا يعني أن عمليات BlackCat أو Lockbit التي تنفذها جهات إنفاذ القانون لم يكن لها بعض التأثير. أدرجت BlackCat 28 ضحية على موقعها المظلم على الإنترنت لشهر فبراير حتى الآن، وهو انخفاض كبير عن 60 ضحية مسجلة في المستقبل تم إحصاؤها على موقعها في ديسمبر قبل إزالة مكتب التحقيقات الفيدرالي. (لم يتم إدراج برنامج Change Healthcare حاليًا بين ضحايا BlackCat الحاليين على موقعه، على الرغم من أن المتسللين قد نسبوا الفضل في الهجوم، وفقًا لموقع تتبع برامج الفدية Breaches.net. ولم تستجب منظمة Change Healthcare أيضًا لطلب WIRED للتعليق على الموقع. هجوم الانترنت.)
يقول بريت كالو، محلل برامج الفدية في شركة الأمن إمسيسوفت، إن شركة Lockbit، من جانبها، ربما تخفي مدى التعطيل الذي تعرضت له وراء التهديد الذي أحدثه موقع التسريب الجديد الخاص بها. ويقول إن المجموعة من المحتمل أن تقلل من أهمية الانهيار الذي حدث الأسبوع الماضي جزئيًا لتجنب فقدان ثقة شركائها التابعين، وهم المتسللون الذين يخترقون شبكات الضحايا نيابة عن Lockbit وقد يشعرون بالفزع من احتمال تعرض Lockbit للاختراق من قبل سلطات إنفاذ القانون.