يقول ألان ليسكا، المحلل لدى شركة ريكوردد فيوتشر الأمنية المتخصصة في برامج الفدية: “إن تطبيق القانون يتحرك بشكل أسرع بكثير، لكنه لا يزال غير سريع بما فيه الكفاية”. “يستغرق الأمر بعض الوقت لبناء قضية، وفي هذه الأثناء، الجماعات تعيث فسادا.”
ربما يكون أحد أسباب تأخير سلطات إنفاذ القانون في محاولة تدمير البنية التحتية لـ Alphv هو التحقيق المستمر مع الجهات الفاعلة التي تقف وراء المجموعة. يبدو أن Alphv/BlackCat تطورت من عصابة تعرف باسم BlackMatter، والتي بدورها ظهرت كإعادة تجميع لمجموعة Darkside Ransomware سيئة السمعة التي استهدفت Colonial Pipeline في الولايات المتحدة.
“هذا ليس عرضهم الأول. يقول بريت كالو، محلل التهديدات في شركة مكافحة الفيروسات إمسيسوفت: “لسوء الحظ، ربما لن يكون الأخير أيضًا”. “لكن شركاء ألفف في الجريمة سوف يتساءلون، ما هي المعلومات التي تمكنت سلطات إنفاذ القانون من جمعها؟ ومن الذي يتورط؟
تضمنت جهود الإزالة تعاونًا وتحقيقات موازية من وكالات إنفاذ القانون المتعددة، بما في ذلك تلك الموجودة في المملكة المتحدة وأستراليا وألمانيا وإسبانيا والدنمارك. قالت وزارة العدل الأمريكية يوم الثلاثاء إن أداة فك تشفير برنامج الفدية Alphv التي طورها مكتب التحقيقات الفيدرالي ساعدت بالفعل أكثر من 500 ضحية على التعافي من الهجمات وتجنب دفع ما يقرب من 68 مليون دولار كفدية.
وبما أن مجموعات برامج الفدية تعتمد بشكل أكبر على نموذج هجين، حيث يأتي الكثير من نفوذها للابتزاز من التهديد بتسريب البيانات المسروقة من الضحايا، فإن برامج فك التشفير ليست سوى واحدة من الأدوات العديدة اللازمة لمساعدة الضحايا على تجنب دفع الفدية. لكن محاولة Alphv بعد ظهر يوم الثلاثاء السماح لعملائها باستخدام برامج الفدية الخاصة بها لشن هجمات على الخدمات الحيوية مثل المستشفيات والمحطات النووية جعلت وجود برنامج فك التشفير أكثر أهمية، نظرًا لمدى خطورة هذا النشاط وتخريبه.
“إن البيان المتعلق باستهداف البنية التحتية الحيوية أمر مقلق للغاية. وستكون هذه معركة مستمرة بالتأكيد. يقول أليكس ليزلي، محلل استخبارات التهديدات في شركة Recorded Future: “سيتعين على جهات إنفاذ القانون أن تطرح مفاتيح وأدوات فك التشفير بقوة للضحايا”. “ولا يزال ابتزاز البيانات مطروحًا على الطاولة. بشكل عام، لن يكون ابتزاز البيانات مدمرًا فيما يتعلق بأزمة الأمن القومي على المدى القصير، ولكن من يدري.
وجاء في مذكرة تفتيش أصدرها مكتب التحقيقات الفيدرالي أن سلطات إنفاذ القانون حصلت على بيانات اعتماد تسجيل الدخول لمنصات عصابة برامج الفدية من “مصدر بشري سري” لديه إمكانية الوصول إلى المجموعة. على الرغم من أنه لم يكن من الواضح على الفور كيف قامت Alphv “بإلغاء الاستيلاء” على موقعها بعد إجراء إنفاذ القانون، إلا أن الباحثين بدأوا في التجمع حول بعض النظريات بعد ظهر يوم الثلاثاء. نظرًا لأن كلاً من مجرمي الإنترنت وجهات إنفاذ القانون كان لديهم إمكانية الوصول إلى مفاتيح تسجيل الدخول، فمن الممكن أن تكون مواقع متعددة قد تم تسجيلها على نفس عنوان Tor أو أن Alphv كان قادرًا على إضافة تسجيل آخر ثم توجيه الموقع إلى خوادم لا تتحكم فيها سلطات إنفاذ القانون. وبنفس الطريقة، فإن الوصول العميق المفترض لسلطات إنفاذ القانون إلى البنية التحتية للعصابة هو على الأرجح ما سمح لها باستعادة الموقع.
أشارت وزارة العدل الأمريكية صباح يوم الثلاثاء إلى أن الأشخاص الذين لديهم معلومات حول Alphv/Blackcat والشركات التابعة لها يجب أن يتقدموا وربما لا يزالون مؤهلين للحصول على مكافأة من خلال وزارة الخارجية الأمريكية.
تم التحديث بتاريخ 19/12/23 الساعة 2:55 مساءً بالتوقيت الشرقي ليعكس أن سلطات إنفاذ القانون أعادت سيطرتها على موقع تسرب الويب المظلم الخاص بـ Alphv.
