يقول خبراء الأمن السيبراني إن المجموعات الروسية المسؤولة عن برامج الفدية الخبيثة اتخذت نهجا مختلفا للتهرب من العقوبات الأمريكية المتزايدة وذلك بانقسامهم إلى خلايا أصغر أو استخدام أنواع مختلفة من البرامج الضارة.
وقالت صحيفة "ووال ستريت جورنال" الأمريكية في تقرير اليوم الجمعة إنه عقب فرض الولايات المتحدة عام 2019 عقوبات على مجموعة مقرها روسيا تعرف باسم "إيفل كورب"، والتي اتهمتها واشنطن بسرقة أكثر من 100 مليون دولار من أكثر من 300 بنك، قام القراصنة الإلكترونيون بتغيير نموذج التشغيل الخاص بهم، فلقد قام القراصنة بوقف استخدامهم للبرامج الضارة المخصصة لشركة إيفل كورب وتناوبوا بين العديد من البرامج الضارة الأخرى.
وأشارت الصحيفة الأمريكية إلى أن محاولات القراصنة لإخفاء هويتهم جعلت من الصعب على الضحايا معرفة ما إذا كانوا يمتثلون للقواعد الحكومية الأمريكية التي تحظر دفع الفدية للكيانات الخاضعة للعقوبات.
ويقول خبراء الأمن السيبراني إن هذه التغييرات في التكتيكات ساعدت بعض الجماعات الإجرامية غير المترابطة على توسيع عمليات القرصنة المربحة التي ضربت شركات الطاقة والمصنعين والشركات الأخرى في السنوات الأخيرة والتي ضربت 14 من أصل 16 قطاعًا حيويًا للبنية التحتية في الولايات المتحدة ببرامج الفدية العام الماضي، وفقًا لمكتب التحقيقات الفيدرالي.
وتنصح واشنطن الشركات بعدم دفع الفديات، لكنها تحث الشركات التي تفعل ذلك على إبلاغ السلطات بها، بما في ذلك مكتب مراقبة الأصول الأجنبية بوزارة الخزانة، الذي يشرف على العقوبات.
وفي خطاب ألقاه يوم الأربعاء الماضي في مؤتمر بوسطن حول الأمن السيبراني، قال مدير مكتب التحقيقات الفدرالي كريستوفر وراي إن المسؤولين الأمريكيين "يعملون بكامل طاقتهم ضد التهديدات الإلكترونية الروسية" من خلال تعطيل مجموعات القرصنة وتحذير الأهداف من التهديدات الوشيكة.
وأضاف أن المهمة أكثر صعوبة بالنظر إلى التداخل الواسع في بعض الأحيان بين برامج الفدية الإجرامية وجهود القرصنة المدعومة (من روسيا). وبدورها نفت الحكومة الروسية مزاعم القرصنة هذه.
وقال واري إن "أحد الأسئلة الرئيسية بالنسبة لنا اليوم هو: متى يصبح الفاعلون الإجراميون عملاء لدولتهم المضيفة؟ هل بنقل الأموال إليهم أم بالتعهد علناً بتقديم دعم كافٍ لحكومة أجنبية؟"
وتوضح كيمبرلي جودي، مديرة تحليل الجرائم الإلكترونية في شركة الأمن الإلكتروني مانديانت، إنه في الحوادث التي تشل عمليات الشركات ولا تترك للضحايا أي خيار سوى دفع الفدية، فإن الأمر سيان.
وتوضح الصحيفة الأمريكية أنه عقب عقوبات وزارة الخزانة لعام 2019 على إيفل كورب، تشير التغييرات المتتالية السريعة من قبل قراصنة تابعين للمجموعة إلى أنهم يواجهون مشكلة في فرز مدفوعات الضحايا الذين كانوا يحاولون الامتثال للعقوبات، وفقًا لمانديانت.
وقالت جودي إن القراصنة قاموا بتغيير جوهري أكثر في العام الماضي. وإنه بدلاً من تصميم وتحديث البرامج الضارة الخاصة بهم، بدأوا في شن هجمات باستخدام برامج فدية مستأجرة، وتحديداً السلالة المعروفة باسم لوكبيت.
وأشارت جودي إلى أن هذا التحول من المحتمل أن يخفض هوامش الربح للقراصنة المنتسبين إلى شركة إيفيل كورب ولكنها حجبت أيضًا هويات القراصنة عند نقطة الهجوم، وأطاحت بجهود المحققين والشركات الضحية الممتثلة للعقوبات.
وأصدر المسؤولون الأمريكيون على مدار العام الماضي لوائح لتعزيز الأمن السيبراني في شركات البنية التحتية الحيوية وتوسيع قدرات التحقيق التي تهدف إلى عرقلة مجموعات برامج الفدية. وفرضت وزارة الخزانة عقوبات على القراصنة ومحافظهم الافتراضية وتبادل العملات المشفرة المستخدمة في نقل الأموال غير المشروعة.
وأشارت الصحيفة الأمريكية أن الحرب الأوكرانية زادت من الأمر سوءا، ففي فبراير الماضي، بعد يوم من عبور الدبابات الروسية إلى الأراضي الأوكرانية، تعهدت مجموعة برمجيات الفدية المعروفة باسم كونتي بالولاء للكرملين على موقع إلكتروني عام تنشر فيه عادةً بيانات مسروقة من الضحايا. وسرعان ما تراجع الأشخاص الذين يزعمون أنهم يمثلون كونتي عن الإعلان في خطوة اعتبرها بعض خبراء الإنترنت محاولة لتجنب الوقوع في شرك شبكة متنامية من العقوبات الغربية.
وبعد أيام، كشف باحث مجهول مؤيد لأوكرانيا عن الأعمال الداخلية للمجموعة من خلال التسلل إلى خوادمها وتسريب 200 ألف رسالة داخلية.
وتواجه مجموعة كونتي الآن ضغوطا أمريكية متزايدة بعد أن أطلق قراصنة كونتي هجومًا ببرنامج الفدية على حكومة كوستاريكا في أبريل الماضي، وعرضت وزارة الخارجية الأمريكية 15 مليون دولار للحصول على معلومات تؤدي إلى اعتقال قادة كونتي أو المتآمرين معهم.
وقال ألان ليسكا، كبير مهندسي الحلول في شركة ريكورديد فيوتشر، إن بعض المتسللين ابتعدوا عن مجموعات برامج الفدية الكبيرة هذه وانتقلوا إلى خلايا أصغر تستخدم أنواع مختلفة من البرامج الضارة. وإن ريكورديد فيوتشر رصدت 60 نوعًا جديدًا من برامج الفدية المستخدمة في الهجمات على مدار الأشهر الستة الماضية.
زأضاف ليسكا إن التنوع في البرامج لم يؤدي إلى انخفاض في هجمات برامج الفدية، مضيفًا أن المتسللين دربوا أنفسهم على استهداف الشركات متوسطة الحجم مثل وكلاء السيارات.