ورد أن الفدراليين اخترقوا مجموعة (ريفر رنسموير) وأجبرتها (REvil Ransomware) على عدم الاتصال بالإنترنت
تم قطع عصابة (REvil Ransomware) الروسية من خلال عملية إنفاذ قانون نشطة متعددة البلدان أدت إلى اختراق بنيتها التحتية وإيقافها عن العمل للمرة الثانية في وقت سابق من هذا الأسبوع، في أحدث إجراء اتخذته الحكومات لتعطيل النظام البيئي المربح.
تم الإبلاغ عن عملية الإزالة لأول مرة من قبل رويترز، نقلاً عن العديد من خبراء الإنترنت في القطاع الخاص الذين يعملون مع الحكومة الأمريكية، مشيرين إلى أن الهجوم السيبراني في مايو على (Colonial Pipeline) اعتمد على برنامج تشفير طوره شركاء (REvil)، مما يؤكد رسميًا صلات (DarkSide) بالجهاز الإجرامي الغزير الإنتاج.
يتسم اقتصاد برامج الفدية الناجح والمربح بشكل متزايد بتشابك معقد من الشراكات، حيث تقوم نقابات برامج الفدية كخدمة (RaaS) مثل (REvil) و (DarkSide) بتأجير البرامج الضارة لتشفير الملفات إلى الشركات التابعة التي تم تجنيدها من خلال المنتديات عبر الإنترنت وقنوات تلغرام، الذين يشنون هجمات ضد شبكات الشركات مقابل حصة كبيرة من الفدية المدفوعة.
يسمح نموذج الخدمة هذا لمشغلي برامج الفدية بتحسين المنتج ، بينما يمكن للشركات التابعة التركيز على نشر برامج الفدية وإصابة أكبر عدد ممكن من الضحايا لإنشاء خط تجميع لمدفوعات الفدية يمكن تقسيمها فيما بعد بين المطور وأنفسهم. تجدر الإشارة إلى أن هذه الشركات التابعة قد تلجأ أيضًا إلى مؤسسات الجريمة الإلكترونية الأخرى التي توفر وصولًا أوليًا عبر الأبواب الخلفية المستمرة لتنظيم عمليات الاقتحام.
قالت صحيفة ديجيتال شدوز (Digital Shadows) في تقرير نُشر في مايو 2021: “عادةً ما تشتري الشركات التابعة وصول الشركات من [وسطاء الوصول الأولي] بسعر رخيص ثم تصيب تلك الشبكات بمنتج رانسوم وير حصل عليه المشغل مسبقًا”. تشير الأهمية المتزايدة لنماذج (RaaS) في مشهد التهديدات إلى زيادة احتراف الجريمة الإلكترونية.
تم إغلاق (REvil) المعروف أيضًا باسم (Sodinokibi) لأول مرة في منتصف يوليو 2021 بعد سلسلة من الهجمات البارزة التي استهدفت (JBS) و (Kaseya) في وقت سابق من هذا العام، لكن الطاقم قام بعودة رسمية في أوائل سبتمبر تحت نفس الاسم التجاري، حتى حيث خطط مكتب التحقيقات الفيدرالي الأمريكي (FBI) خلسة لتفكيك الأنشطة الخبيثة لممثل التهديد دون علمهم، وفقًا لما أوردته صحيفة واشنطن بوست الشهر الماضي.
ونقل عن أوليج سكولكين من (Group-IB) قوله لرويترز: “أعادت عصابة (REvil ransomware) البنية التحتية من النسخ الاحتياطية على افتراض أنها لم تتعرض للاختراق”. ومن المفارقات أن تكتيك العصابة المفضل في المساومة على النسخ الاحتياطية انقلب ضدهم.
المصدر: (thehackernews.com)
