ما تعلمناه من لائحة الاتهام الموجهة إلى العقل المدبر لشركة LockBit
كشفت السلطات الأمريكية والبريطانية يوم الثلاثاء أن العقل المدبر وراء LockBit، إحدى مجموعات برامج الفدية الأكثر إنتاجًا وضررًا في التاريخ، هو روسي يبلغ من العمر 31 عامًا يُدعى ديمتري يوريفيتش خوروشيف، المعروف أيضًا باسم “LockbitSupp”.
وكما هو معتاد في هذا النوع من الإعلانات، نشرت سلطات إنفاذ القانون صورًا لخوروشيف، بالإضافة إلى تفاصيل عملية مجموعته. اتهمت وزارة العدل الأمريكية خوروشيف بارتكاب العديد من جرائم الكمبيوتر والاحتيال والابتزاز. وفي هذه العملية، كشف الفيدراليون أيضًا عن بعض التفاصيل حول عمليات LockBit السابقة.
وفي وقت سابق من هذا العام، استولت السلطات على البنية التحتية لشركة LockBit وبنوك البيانات الخاصة بالعصابة، وكشفت عن تفاصيل أساسية حول كيفية عمل LockBit.
اليوم، لدينا المزيد من التفاصيل حول ما أسماه الفيدراليون “منظمة إجرامية ضخمة تم تصنيفها، في بعض الأحيان، على أنها مجموعة برامج الفدية الأكثر إنتاجًا وتدميرًا في العالم”.
إليكم ما تعلمناه من لائحة اتهام خوروشيف.
كان لدى خوروشيف لقب ثانٍ: بوتينكراب
كان زعيم LockBit معروفًا علنًا بالاسم المستعار غير الخيالي LockBitSupp. لكن خوروشيف كان لديه أيضًا هوية أخرى على الإنترنت: بوتينكراب. ولا تتضمن لائحة الاتهام أي معلومات حول التعامل عبر الإنترنت، على الرغم من أنها تشير على ما يبدو إلى الرئيس الروسي فلاديمير بوتين. ومع ذلك، هناك العديد من الملفات الشخصية على الإنترنت تستخدم نفس اللقب على Flickr، وYouTube، وReddit، على الرغم من أنه من غير الواضح ما إذا كانت هذه الحسابات يديرها خوروشيف.
وضرب LockBit ضحايا في روسيا أيضًا
في عالم الجرائم الإلكترونية الروسية، وفقًا للخبراء، هناك قاعدة مقدسة وغير مكتوبة: اخترق أي شخص خارج روسيا، وسوف تتركك السلطات المحلية وشأنك. من المثير للدهشة، وفقًا للفيدراليين، أن خوروشيف والمتآمرين معه “قاموا أيضًا بنشر LockBit ضد العديد من الضحايا الروس”.
ويبقى أن نرى ما إذا كان هذا يعني أن السلطات الروسية ستلاحق خوروشيف، لكنها على الأقل تعرف الآن من هو.
كان خوروشيف يراقب عن كثب أتباعه
تُعرف عمليات برامج الفدية مثل LockBit باسم برامج الفدية كخدمة. وهذا يعني أن هناك مطورين يقومون بإنشاء البرنامج والبنية التحتية، مثل خوروشيف، ثم هناك الشركات التابعة التي تقوم بتشغيل ونشر البرنامج، وإصابة الضحايا، وابتزاز الفدية. وزعم الفيدراليون أن الشركات التابعة دفعت لخوروشيف حوالي 20% من إجراءاتها.
وفقًا للائحة الاتهام، سمح نموذج العمل هذا لخوروشيف بمراقبة الشركات التابعة له “عن كثب”، بما في ذلك الوصول إلى المفاوضات مع الضحايا والمشاركة فيها أحيانًا. حتى أن خوروشيف “طلب وثائق هوية من المتآمرين التابعين له، والتي احتفظ بها أيضًا على بنيته التحتية”. ربما كانت هذه هي الطريقة التي تمكنت بها سلطات إنفاذ القانون من التعرف على بعض الشركات التابعة لشركة Lockbit.
كما طور خوروشيف أداة تسمى “StealBit” والتي كانت مكملة لبرنامج الفدية الرئيسي. سمحت هذه الأداة للشركات التابعة بتخزين البيانات المسروقة من الضحايا على خوادم خوروشيف، ونشرها أحيانًا على موقع تسريب الويب المظلم الرسمي الخاص بـ LockBit.
بلغت مدفوعات برامج الفدية الخاصة بـ LockBit حوالي 500 مليون دولار
تم إطلاق LockBit في عام 2020، ومنذ ذلك الحين نجحت الشركات التابعة لها في ابتزاز ما يقرب من 500 مليون دولار على الأقل من حوالي 2500 ضحية، والتي شملت “الشركات الكبرى متعددة الجنسيات والشركات الصغيرة والأفراد، وكان من بينهم المستشفيات والمدارس والمنظمات غير الربحية ومرافق البنية التحتية الحيوية، و الحكومة ووكالات إنفاذ القانون.”
وبصرف النظر عن دفع الفدية، تسببت LockBit في أضرار في جميع أنحاء العالم بلغ إجماليها مليارات الدولارات الأمريكية، لأن العصابة عطلت عمليات الضحايا وأجبرت الكثيرين على دفع خدمات الاستجابة للحوادث والتعافي منها، حسبما زعم الفيدراليون.
وتواصل خوروشيف مع السلطات للتعرف على بعض أتباعه
ربما يكون الأمر الأكثر إثارة للصدمة من بين ما تم الكشف عنه مؤخرًا هو أنه في شهر فبراير، بعد أن قام تحالف من وكالات إنفاذ القانون العالمية بإسقاط موقع LockBit الإلكتروني والبنية التحتية، تواصل خوروشيف “مع سلطات إنفاذ القانون وعرض خدماته مقابل الحصول على معلومات تتعلق بهوية شركته”. [ransomware-as-a-service] المنافسين.”
وبحسب لائحة الاتهام، طلب خوروشيف من سلطات إنفاذ القانون “[g]أعطني أسماء أعدائي.”