Rhysida، عصابة برامج الفدية الجديدة التي تقف وراء الهجوم الإلكتروني على المكتبة البريطانية | الجريمة الإلكترونية

تمت إضافة اسم جديد إلى معرض عصابات برامج الفدية الخاصة بالمحتالين عبر الإنترنت هذا الأسبوع بعد أن أعلنت مجموعة إجرامية تدعى Rhysida مسؤوليتها عن هجوم على المكتبة البريطانية.

وأكدت المكتبة أن البيانات الشخصية المسروقة في هجوم إلكتروني الشهر الماضي أصبحت معروضة للبيع عبر الإنترنت.

في حين أن الاسم الكامن وراء الهجوم قد يكون جديدًا نسبيًا، إلا أن الأسلوب الإجرامي ليس كذلك. تجعل عصابات برامج الفدية من الوصول إلى أجهزة الكمبيوتر الخاصة بالمؤسسة غير ممكن عن طريق إصابتها ببرامج ضارة – البرامج الضارة – ثم المطالبة بالدفع، عادة بالعملة المشفرة، لفتح الملفات.

ولكن في السنوات الأخيرة، وفي عملية أطلق عليها اسم “الابتزاز المزدوج”، تقوم غالبية العصابات بسرقة البيانات في نفس الوقت والتهديد بنشرها عبر الإنترنت، وهو ما يأملون أن يعزز موقفهم التفاوضي.

ظهرت Rhysida كمهاجم هذا الأسبوع من خلال نشر صور منخفضة الدقة للمعلومات الشخصية التي تم جمعها في الهجوم عبر الإنترنت، وعرضت البيانات المسروقة للبيع على موقع التسريب الخاص بها بعرض يبدأ بـ 20 بيتكوين، أو حوالي 590 ألف جنيه إسترليني.

وقال راف بيلينغ، مدير أبحاث التهديدات في شركة Secureworks للأمن السيبراني: “هذا مثال كلاسيكي على هجوم برنامج الفدية المزدوج للابتزاز، وهم يستخدمون التهديد بتسريب أو بيع البيانات المسروقة كوسيلة لابتزاز الأموال”.

في حين أن المكتبة البريطانية هي ضحية بريطانية بارزة لهجوم Rhysida – الذي سمي على اسم نوع من حريش – فإن المجموعة مسؤولة أيضًا عن هجمات على مؤسسات حكومية في البرتغال وتشيلي والكويت. وفي أغسطس/آب، أعلنت مسؤوليتها عن هجوم على مجموعة المستشفيات الأمريكية “بروسبكت ميديكال هولدينغز”.

أصدرت الوكالات الحكومية الأمريكية مذكرة استشارية بشأن Rhysida الأسبوع الماضي، تفيد بأن “متغير برامج الفدية الناشئة” قد تم نشره ضد قطاعات التعليم والتصنيع وتكنولوجيا المعلومات والحكومة منذ شهر مايو. وقالت الوكالات إنها شاهدت أيضًا عصابة Rhysida تدير عملية “برامج الفدية كخدمة” (Raas)، حيث تقوم بتأجير البرامج الضارة للمجرمين وتقاسم عائدات الفدية.

اسم Rhysida جديد على الجمهور، ولكن وفقًا لـ Secureworks فقد ظهر من عملية إجرامية تأسست في عام 2021. وتطلق Secureworks على تلك المجموعة اسم Gold Victor وتقوم بتشغيل مخطط فدية يسمى Vice Society.

إن ممارسة تغيير العلامة التجارية هذه أمر شائع بين العصابات الإجرامية – غالبا ما يتم تسميتها على اسم متغير برامج الفدية التي تنشرها – إذا أصبحت “علامتها التجارية” الحالية سيئة السمعة بشكل مفرط وتجذب الكثير من الاهتمام من جانب سلطات إنفاذ القانون.

غالبًا ما يتم إرفاق العلامة التجارية في نهاية أسماء الملفات المشفرة المتبقية بعد الهجوم، في فعل وصفه راف بأنه ترك “بطاقة اتصال”.

الهوية الدقيقة لعصابة ريسيدا غير معروفة، لكن بيلينج يفترض أنها تتبع نمط النشطاء المماثلين الذين عادة ما يكونون من روسيا أو أعضاء في كومنولث الدول المستقلة، التي تضم روسيا وبيلاروسيا وكازاخستان.

وقال بيلينج: “أفترض أنهم ربما يتحدثون الروسية، لكن ليس لدينا أي دليل دامغ”.

وفقًا للوكالات الأمريكية، استخدمت العصابات التي تستخدم برنامج الفدية Rhysida الشبكات الخاصة الافتراضية للمنظمات – الأنظمة التي يستخدمها الموظفون للوصول إلى أنظمة أصحاب العمل عن بعد – للدخول إلى الأنظمة، أو نشرت الأسلوب المألوف لهجمات التصيد، حيث يتم استهداف الضحايا يتم خداعهم، عادةً عبر البريد الإلكتروني، للنقر على رابط يؤدي إلى تنزيل برامج ضارة أو خداعهم لتسليم تفاصيل مثل كلمات المرور.

قال سبيلنج: “هذه تقنيات وصول شائعة”. بمجرد دخول العصابات، عادةً ما تكمن في النظام لفترة من الوقت. وفقًا لشركة Secureworks، انخفض وقت بقاء الهجمات إلى أقل من 24 ساعة بالنسبة للعصابات السيبرانية بشكل عام، مقارنة بأكثر من أربعة أيام في عام 2022. وهذا يساعد على تجنب اكتشافها.

وفقًا لوثيقة الوكالات الأمريكية، تعد العملة المشفرة شكلًا شائعًا لطلب الفدية لمهاجمي Rhysida، وذلك تماشيًا مع بقية جماعة القرصنة الإجرامية. تحظى الأصول الرقمية مثل البيتكوين بشعبية كبيرة لدى عصابات برامج الفدية لأنها لا مركزية – فهي تعمل خارج النظام المصرفي التقليدي وبالتالي تتجاوز عمليات التحقق القياسية – ويمكن حجب المعاملات، مما يزيد من صعوبة تتبعها.

يرسل مهاجمو Rhysida ملاحظات الفدية الخاصة بهم بعنوان “CriticalBreachDetected” في ملف PDF. توفر المذكرة لكل مستلم رمزًا فريدًا وتعليمات للاتصال بالمجموعة عبر متصفح ويب متخصص يجعل الاتصالات غير قابلة للتعقب.

إن دفع طلبات الفدية في المملكة المتحدة أمر مرفوض بشدة ولكنه ليس غير قانوني، إلا إذا كنت تعلم – أو تشك – أن العائدات تذهب إلى جيوب الإرهابيين. وفقًا للمركز الوطني للأمن السيبراني: “لا يشجع تطبيق القانون أو يؤيد أو يتغاضى عن دفع طلبات الفدية”.

في الولايات المتحدة، لا تشجع الحكومة أيضًا دفع الفدية، لكن مذكرة استشارية من وزارة الخزانة الأمريكية في عام 2020 أكدت أن هذا “للتوضيح فقط” و”ليس له قوة القانون”.

تزايدت مدفوعات برامج الفدية، وفقًا لشركة الأمن السيبراني البريطانية سوفوس. وأفادت أن متوسط ​​مدفوعات برامج الفدية تضاعف تقريبًا ليصل إلى 1.2 مليون جنيه إسترليني خلال العام الماضي. وفي ظل هذه الخلفية، سوف تستمر “العلامات التجارية” الجديدة لبرامج الفدية في الظهور.