غوص عميق في أسرار مجموعة “لوك بيت” أخطر عصابات برامج الفدية عالميا

لوك بيت
لو اقتربت قليلا من مما يجري في عالم الجريمة الالكترونية، فستجده ساحة واسعة للغموض والإثارة والتعقيد والحيرة والصدمة والرعب والخسائر الموجعة، والمراوغة والتخفي والهروب، تموج بأحداث لا تقل في خطورتها وإثارتها وغموضها عن أعقد اشكال الجريمة المادية المنظمة والفردية والإرهابية معا، وتعتبر أعمال عصابة “لوك بيت ” الأكثر خطورة عالميا في شن هجمات الفدية نموذجا يجسد هذا الامر تجسيدا حيا، فهي مسئولة عن ما يزيد علي ثلث جرائم الفدية والأعلى تأثيرا والأشد ضررا خلال الفترة الأخيرة، ولم تستطع قوى إنفاذ القانون حول العالم كسر شوكتها بعد، لكن فريقا أمنيا تمكن أخيرا من هتك جانب من اسرارها المثيرة ونشرها علنا.
ينتمي الفريق الأمني الذي انجز هذه الخطوة إلي شركة “برودافت” المتخصصة في أمن المعلومات، ورصد الهجمات الأمنية المتقدمة، ونشر النتائج التي توصل إليها في تقرير بعنوان ” لوك بيت ـ هجمات الفدية كخدمة ـ تحليل في العمق”، يمكن مطالعته كاملا من هنا، ويتضمن تفاصيل مثيرة حول طبيعة ونشاط هذه العصابة.
كيان يقدم الجريمة كخدمة
تمتلك بنية تقنية عملاقة تقدم من خلالها هجمات الفدية كخدمة
لا يعرف على وجه التحديد متي نشأت وتشكلت عصابة “لوك بيت”، لكن الفريق عثر على بعض بياناتها القديمة التي تشير إلي أنها عملت في السابق تحت اسم ” أي بي سي دي”، ثم انقلبت الي ” لوك بيت “، التي مارست نشاطها منذ بداية ظهورها باعتبارها جهة لتوفير خدمة “رااس”، أو “تقديم هجمات الفدية كخدمة”.
هذا الاسم، يعني تلقائيا أنها كيان مرعب مترامي الأطراف، وفي معناه البسيط أن أن لديها كمية ضخمة من الموارد والمهارات والقدرات التنظيمية والمالية والتقنية، متاحة كخدمة قابلة والاستخدام من قبل أي شخص أو مجموعة أو عصابة، تريد شن هجمة فدية، أن يستخدمها في شن هجمته، وذلك مقابل اشتراك ثابت، او مقابل نسبة مما يحصل عليه من الفدية التي يدفعها ضحاياه.
ولكي تستطيع العصابة الوصول الي مستوي تقديم ” هجمات الفدية كخدمة” لمن يطلبها،  لابد وان تكون قد امتلكت بنية تحتية عالية القدرات، تتضم حاسبات خادمة قوية ونظم تشغيل، وبرمجيات وأدوات ضارة وخبيثة لا حصر لها، تستخدم في عمليات التصيد الاحتيالي، والخداع، والمسح الشامل لما يصادفها من أجهزة وشبكات معلومات، لاكتشاف الثغرات ونقاط الضعف القابلة للاستغلال، ثم بيئة تأمين متقدمة فريدة من نوعها، ليس فقط للتخفي وحماية أعمالها، ولكن لشن الهجمات الناجحة وكسر دفاعات الضحايا، وغيرها الكثير، ثم نظام شامل ينسق ما بين كل هذه المكونات، ويديرها كمنظومة واحدة متكاملة، تقدم كل الخدمات اللازمة لشن هجمات فدية ناجحة ومؤثرة، ضد اكبر الكيانات الاقتصادية والحكومية والسياسية حول العالم، وفضلا عن ذلك لديها خبرات اقتصادية وإدارية متقدمة، تتيح لها وضع نموذج العمل المسئول عن توليد العائدات، وتقسيم الأرباح، وفهم نفسية الضحايا وكيفية التأثير عليهم، والتفاوض معهم، ثم منظومة مالية متكاملة، شديدة التخفي والتعقيد، تسمح بتسلم الأموال ثم اخفائها، ثم توزيعها علي من يقومون باستخدام “هجمات الفدية كخدمة”.
أكد الفريق الأمني أن عصابة “لوك بيت” تمتلك كل هذا بالفعل، ولديها بوابة موحدة، مسجل عليها عشرات وربما المئات من العصابات والأفراد، ذوي المهارات العالية الاحترافية المتقدمة، القادرة علي استخدام موارد وخدمات لوك بيت في شن هجمات فدية ناجحة، وبعضها بات يعمل كأفرع لعصابة لوك بيت، وبعضها الآخر يحصل علي الخدمة ويدفع الاشتراك ونسبة من الفدية.
النظام الأساسي وسلسلة القتل
استغرق الأمر شهورا من الفريق الأمني لكي يصل إلي النظام الأساسي او البنية التحتية للعصابة، ولوحة الإدارة الموحدة التي تقدم من خلالها “هجمات الفدية كخدمة”، واستطاع الفريق الاطلاع علي بعض تفاصيلها المرعبة والمذهلة.
وفقا للفريق فإن بنية ” رااس RaaS” التابعة لعصابة لوك بيت، تضم نظاما أساسيا به منظومة لتوليد برامج الفدية، وبرامج التشفير، وبرامج فك التشفير، ودورة عمل غاية في التقدم، توضح ما تسميه العصابة “سلسلة القتل” خلال الهجمات، والتي تتضمن الخطوات المتتالية التي يمر بها الهجوم، منذ بدايته وحتي الحصول علي الفدية والتخفي دون ترك اثر، كما يضم لوحة تحكم مركزية، لإنشاء وإدارة حسابات العصابات والمجرمين الآخرين لديها، وأيضا إدارة ضحاياهم، ونشر منشورات المدونة وأيضًا سحب الإحصاءات المتعلقة بـنجاح  أو فشل محاولات هجومهم.
 وحينما حلل الفريق دورة عمل العصابة، أو “سلسلة القتل” اثناء الهجمات، تبين أن الهجمات التي تتم من خلال العصابة، إما تنفذ بمعرفة العصابة مباشرة، وتتبع فيها خطوات “سلسلة القتل” كاملة، أو من خلال العصابات والمجموعات التي تستخدم بنية “رااس” التابعة لها، وهنا يكون دورها تقديم البنية والموارد اللازمة للهجوم، والاستشارات والدعم المباشر إن تطلب الأمر ذلك، وفى هذه الحالة، تعرض خدماتها مقابل اشتراك قدره 5 دولارات علي العصابات الأخرى والمجرمين الأفراد، مضافا إليه ما يتراوح بين 15 و20% من قيمة الفدية.
اكتشف الفريق الأمني أن العصابة لا تتيح الوصول إلي بنية “رااس” واستخدامها عشوائيا، بل للذين تخطوا او اجتازوا شروط الاستخدام، ممن يملكون مهارات عالية ومتقدمة في عمليات الاختراق والهجمات الأمنية، ولم لديهم سجل اجرامي يضم هجمات ناجحة ومؤثرة بالفعل، ووصف الفريق شروط الاستخدام بأنها صعبة للغاية ومجهدة، حتي أن الطرف طالب الخدمة لا يصل إلي لوحة الإدارة المركزية ويتم تسجيله في بنية “رااس” التابعة للوك بيت إلا بعد مراحل متعددة من التصفية، تستهدف التحقق من هويته والتأكد  من انتمائه لعالم الجريمة الالكترونية، بعيدا عن أعين فرق أمن المعلومات، سواء التابعة لجهات إنفاذ القانون، أو للشركات المتخصصة.
  تحديد الهدف
عشرات العصابات والأفراد يستخدمون الخدمة مقابل 5 دولارات
تتسم المجموعات والأشخاص والعصابات الذي يستخدمون بنية “رااس” بالتنوع الكبير، ولذلك فإن الباب مفتوح لتنوع الأدوات والتكتيكات والاهداف وخلافه ايضا، وتبدأ سلسلة القتل عادة بتحديد الهدف، وهنا توفر لوك بيت أدوات المسح الشامل التي يتم إطلاقها عبر الانترنت، لترصد وتكتشف الثغرات الأمنية ونقاط الضعف القابلة للاستغلال، كما توفر أدوات يطلق عليها “حشو بيانات الاعتماد”، وهي برمجية خبيثة يتم دسها في مواقع الويب المختلفة وعبر رسائل البريد الالكتروني، لتقوم بالتدخل في أعمال برمجيات ادخال البيانات والمعلومات، كالاستمارات الالكترونية، ولوحات ادخال البيانات الحساسة داخل أنظمة العمل المختلفة، كما توفر أيضا أدوات حملات التصيد الاحتيالي التي تتم عبر البريد الالكتروني، كما توفر أيضا بيانات الحاسبات الخادمة التي تم اختراقها، وتعتبر جميع هذه الأدوات مصادر رئيسية في العثور علي الضحايا الجدد.
أثناء الغوص العميق في أعمال العصابة، عثر أعضاء الفريق علي اثنين من الأدوات المستخدمة في كشف نقاط الضعف القائمة بنظم وشبكات معلومات الشركات والمؤسسات، أحدها استخدم فعليا في شن الهجوم علي شبكات الاتصالات الافتراضية الخاصة بتشغيل لعبة فورتينيت الشهيرة، وتبين أنها من أكثر الطرق استخدامًا لتحقيق مكاسب والوصول إلى شبكات الشركة المستهدفة، كما عثر علي أداة مستخدمة في حملات التصيد الاحتيالي العامة، وهجمات حشو بيانات الاعتماد، والتي يتم تشغيلها علي نطاق واسع بغرض الوصول إلي الحاسبات الخادمة للشركات والمؤسسات المستهدفة.
التحضير
بعد أن يتم استخدام موارد بنية “رااس” في تحديد الهدف والوصول إليه، أي إتمام عملية الاختراق والنفاذ إلي داخل الحاسبات الخادمة وشبكات المعلومات التابعة للضحية، تبدأ الخطوة الثانية في سلسلة القتل، وتطلق عليها العصابة “التحضير”، ويتم خلالها عملية عد وحصر الملفات القائمة داخل الشبكة، والتعرف علي أنظمة المهام الحرجة، مثل وحدات التحكم، والحاسبات الخادمة المسئولة عن النسخ الاحتياطي، أو شبكات التخزين المعروفة بأنظمة “ناس” التي تضم ملفات الضحية، وتستمر أعمال التحضير، فيتم استخراج البيانات وتصديرها إلي خوادم العصابة، ليتم تقييمها بمعرفة خبراء في المجال الذي تعمل به الجهة الضحية، لتقييم مدي أهميتها وجدوى مهاجمتها وتشفيرها من عدمه، وهل ستكون عامل ضغط علي الضحية أم لا، وفي حال تبين أنها مهمة، يتم نقلها الي حاسبات خادمة مجانية لتكون جاهزة للتنزيل والنشر العام علي الانترنت، كوسيلة للابتزاز اثناء التفاوض.
إنشاء العينة
بعد انتهاء مرحلة التحضير بكل تفاصيلها، يبدأ فصل جديد في سلسلة القتل، يعرف باسم “إنشاء العينة”، ويقصد بها تشغيل برامج الفدية التابعة للعصابة، لإنتاج عينة من الملفات المشفرة واختبارها، للتأكد من عدم قدرة الضحية علي فكها بنفسه، وتستخدم العصابة في انتاج العينة مفتاح تشفير عشوائي من نمط” آر إس أية RSA “، كما تتضمن هذه المرحلة إنشاء صفحة خاصة بالضحية داخل لوحة التحكم المركزية في خدمة “رااس”، إما تدار من قبل العصابة مباشرة إذا كانت هي المسئولة عن تنفيذ الهجوم، أم من قبل العصابة الفرعية التي سمحت لها العصابة الأم باستخدام الخدمة، وإذا كان الهجوم لصالح عصابة فرعية، تمنحها العصابة الأم إمكانية انشاء نماذج فريدة لبرامج الفدية، وإنتاج العينة بنفسها، واستخدام أداة التعليقات التوضيحية، التي تحدد الضحايا وانظمتهم، واعداد صفحة التواصل مع الضحية بعد الكشف عن الهجوم، وهي عادة تتم عبر برامج للدردشة، تتضمن وظيفة للتعليقات تظهر علي لوحة غدارة لوك بيت المركزية.
تنفيذ الهجوم
في هذه المرحلة يتم تشغيل برامج الفدية بطاقتها الكاملة، حيث يتم تشفير كل الملفات التي وقع عليها الاختيار اثناء مرحلة التحضير، وفق الطريقة التي تم اعتمادها في مرحلة إعداد العينة، وفي هذه النقطة اكتشف الفريق أن العصابة تقوم بالتشفير وفق أسلوب معقد للغاية، فهي تستخدم مفتاح عشوائي بنمط يعرف باسم ” أية إي إس AES” وتنشيء العصابة ارتباطا بينه وبين مفتاح RSA  المستخدم في مرحلة إنتاج العينة، ويقوم مفتاح AES بتشفير كل ملف باستخدام مفتاح فريد غير متكرر، يتم إدخاله في “إزاحة” معينة أو مكان معين داخل الملف، وبالتالي فإن كل ملف داخل النظام الهدف هو مشفرة بمفتاح مختلف، مما يعني أنه لو استطاع الطرف الضحية فك مفتاح ملف ما فإن مفتاح الفك يعمل علي ملف واحد فقط، ويكون من المتعين عليه البدء من جديد في كل ملف من الملفات المشفرة، أما فتح فك تشفير كل الملفات دفعة واحدة فلا يتم إلا بواسطة مفتاح التشفير الذي تم إنشاؤه عشوائيًا في مرحلة إنشاء العينة بالمفتاح الخاص بنمط  RSA أثناء إنشاء العينة الفريدة في جزء الإدارة، ولا تكون شفرته موجودة أصلا علي ملفات الضحية، وتتضمن مرحلة التشفير حذف جميع النسخ الاحتياطية من الملفات، وتغيير خلفة النظام لتظهر بها الرسالة التي تبعث بها العصابة للضحية طالبة الفدية.
تبين من التحليل أن العصابة تقوم بإنشاء ملف يحمل اسم استعادة ملفاتي، وملفات اخري باسم  note.hta، عبارة عن صفحة اتش تي إم إل جيدة التصميم، تشرح الوضع الحالي للضحية بعد تنفيذ الهجمة، وطرق الاتصال بالمهاجمين، وكيفية الحصول علي برنامج فك التشفير، والفدية المقدرة، ومزيد من الإرشادات للشراء، وتتضمن الصفحة أيضا ما يعرف بـ “مذكرة الفدية: التي تتضمن إرشادات حول تثبيت متصفح “تور” للوصول الي صفحة الويب الخاصة بالعصابة، الذي يتيح الوصول الي أداة التواصل والدردشة التي تظهر علي لوحة لوك بيت المركزية، ومنها يحصل الضحايا علي إرشادات بزيارة موقع لوك بيت الالكتروني عبر رابط فريد محدد، ويتم الترحيب بهم بصفحة محددة، تحتوي علي جهات الاتصال مع لوك بيت، وقسم “الدردشة مع الدعم”
برنامج فك التشفير التجريبي
سلسلة قتل تبدأ بتحديد وانتقاء الهدف وتنتهي بإخفاء اثر أموال الفدية
عند بدء التواصل بين الضحية ولوك بيت، تطلب العصابة من الضحية تنزيل النسخة التجريبية من برنامج فك التشفير، وهنا تبدأ لوحة الضحية داخل لوحة لوك بيت المركزية في العمل، ومن خلال هذه اللوحة يتم السماح للضحية بفك تشفير ملف واحد بحجم أصغر من 256 كيلو بايت، يجب أن يتم إنشاؤه من النظام باستخدام ملف تعريف  خاص بالضحية، وتتحقق اللوحة من أن الملف المحدد ينتمي للضحية بالفعل، ثم يرسل الملف الذي تم فك تشفيره للضحية، كدليل علي أن المهاجمين قادرون علي فك تشفير ملفاتهم بنجاح بطريقة آلية، ووفقا لما توصل إليه الفريق الأمني، فإن العصابة تفرض علي الضحية ضرورة تحميل ملف فك التشفير التجريبي، لمنع أي طرف ثالث من التدخل.
تمكن الفريق من اكتشاف بعض من التفاصيل الخاصة بلوحة الإدارة المركزية للعصابة، التي تستخدم بشكل أساسي لإدارة الضحايا ، والحسابات التابعة ، وإنشاء برامج الفدية الجديدة ، وخدمة برنامج فك التشفير، كما تتضمن نافذة للدردشة بها مفتاح يعرض تفاصيل بيانات الضحية ومفاتيح الجلسة ، وتواريخ الزيارة الأولى والأخيرة وإجمالي المشاهدات وتاريخ الإنشاء، كما تحتوي الصفحة على مخطط عرض ، وضحايا تمت زيارتها مؤخرًا ، ومؤخراً ملفات الاختبار التي تم تحميلها. يمكن للعصابات التابعة تنزيل ملفات اختبار الضحية التي تم فك تشفيرها من هذه الصفحة، وأخيرًا ، يوجد زر “فك تشفير” داخل نافذة الدردشة على لوحة معلومات إدارة العصابات التابعة
وهناك دور آخر للوحة إدارة لوك بيت هو إدارة الحسابات التابعة. متي يسجل المستخدم الإداري الدخول إلى لوحة الإدارة، ويمكن للمستخدم المسؤول أيضًا عرض كل جلسة دردشة تابعة داخل لوحة القيادة الرئيسية من لوحة الإدارة. تتضمن صفحة الإحصائيات أيضًا جميع مشاهدات صفحة الضحية لكل حساب.
وبمجرد الضغط على زر فك التشفير للضحية في لوحة الإدارة ، يتم إنشاء ملف فك تشفير EXE لمعرف الضحية المحدد، إذا استخدمت الضحية محاولة فك التشفير التجريبية ، فسيكون رابط برنامج فك التشفير الذي تم إنشاؤه المعروضة في الجزء السفلي من صفحة دردشة الضحية. من هذه النقطة ، يمكن للضحايا التنزيل ملف فك التشفير EXE وتشغيله داخل أنظمتهم المشفرة لفك تشفير ملفاتهم، ووفقا لما توصل إليه الفريق فإن برنامج فك التشفير يقوم بفك تشفير الملفات المقفلة بنجاح داخل نظام الضحية دون القيام بأي نشاط ضار.
التعامل مع الضحايا
بعد تنفيذ الهجوم وإبلاغ الضحايا بالمطالب، تصل سلسل القتل إلي مرحلة التعامل مع الضحايا، وهي مرحلة تقوم خلالها العصابة ببعض الخطوات الفرعية، أولها التحليل النفسي للضحايا، وفيها تركز العصابة علي كل السمات الخاصة بالتفاوض تحت الضغط، كأن ترسل رسائل تبدأ بـ”هل تقبل شروط العقد؟”، ثم رسالة تالية تقول: “جميع بياناتك مشفرة. لاستعادة البيانات ، تحتاج إلى برنامج فك التشفير. تكلفة فك التشفير هو 1000 دولار أمريكي. يتم قبول الدفع بعملة البيتكوين فقط. بعد الدفع ، ستفعل تلقي فك تشفير وإرشادات حول كيفية مواجهة القرصنة. سيمكنك استعادة بياناتك في غضون 15-30 دقيقة. هل توافق على شروط العقد؟ “
بعد ذلك يحدث تصعيد في لغة وخطاب العصابة لضحاياها فيما يعرف بمرحلة نشر الشعور بالذعر، وهنا ترسل رسائل تتضمن عبارات من قبيل :ربما يتم إلقاء عملك بالكامل في ثقب أسود ، وبما أنك تريد حفظ عملك والبيانات التي تم إنشاؤها من حيث الأعمال الذكاء ، فأنت تتعامل مع المجموعة المنظمة التي تصادف أن تكون فكرة عملها واحد جنائي. إنهم يفترسون فكرة أن رزقك في خطر وأنت تتوقع ذلك احفظها”.
الخطوة الثالثة في التعامل مع الضحايا هي الابتزاز عن طريق التهديد بالفضيحة، كأداة قوية للإقناع، والمقصود بالفضيحة هو نشر البيانات علي الملأ وللكافة،  وبعد استشعار حالة الخطر والذعر والشعور بالعجز لدي الضحية، تبدأ خطوة جديدة هي “النصائح الودية”، وهنا تفتح العصابة بابا للتواصل عبر منتدي الدردشة الخاص بها، وفي هذه النقطة نشر الفريق الأمني جزء من نص محادثة جري بين العصابة واحد الضحايا وجاء كالتالي:
“المبلغ الذي ترغب في دفعه”
“إذا عرضت المبلغ وكان يناسبنا ، فسنعقد صفقة”
“إذا لم تسدد دفعة في غضون 72 ساعة ، فسنبدأ في الإرسال …”
“سأقبل عرضك إذا دفعت خلال 12 ساعة! أسرع – بسرعة !”
“24 ساعة للدفع ، فإن المبلغ سيرتفع إلى 30000 دولار”
و: “انتباه! لا تحاول فك تشفير الملفات مع أي برامج أخرى! هذا غير ممكن ويمكن فقط إتلاف ملفاتك! ” “لا تعبث معنا”
ولتعزيز قضيتهم التجارية ، يقدم الجناة الدليل:
“هذا دليل صغير على أننا نملك بياناتك”
ثم يرسل رسالة متبوعة برابط
“يمكنك الدفع بعملة البيتكوين فقط. يمكنك إرشادهم من خلال … “
متبوعة بتعليمات محددة ومعلومات عن محفظة البيتكوين.
بمجرد أن تقدم الضحية المحفظة إلى الجناة ، يبدأون في المماطلة أمامهم
الانخراط في سرقة الفدية ، من البساطة
“انتظر”
“وقت الإنتاج الرئيسي هو من 12 إلى 24 ساعة”
بعد ذلك تبدو العصابة وكأنها تحاول أن تقدم معروفا للضحية على غرار الأعمال التجارية العادية فتقول:
“بعد الدفع ، سنخبرك بالثغرة الأمنية وستغلقها، ولدينا هجوم ثان سيتم استبعاده “
بشكل عام ، تتبع المحادثات نمطًا من الإجابات الموحدة
اثناء وبعد الدفع، تستخدم العصابة تقنيات سلاسل الكتل المتقدمة “بلوك تشين” التي تحتوي علي تقنيات فرعية من بينها خلط العملات، والتنقل ما بين العملات الرقمية المختلفة، والعديد من خدمات غسيل الأموال للتعتيم علي معاملاتهم، والاعتماد الكثيف علي أدوات المبادلات المالية السائدة، لتصبح المعاملة المالية بعد ذلك بلا أثر تقريبا.
إحصاءات حول الضحايا
وفقًا لتفاصيل الضحايا التي تم الحصول عليها من كل حساب موجود بلوحة الإدارة المركزية للعصابة، فإن العصابة وتابعيها نجحوا في إصابة آلاف الأجهزة حول العالم، وجميع الضحايا شركات ومؤسسات لديها مشروعات كبرى، وكان متوسط مبلغ الفدية المطلوب 85 ألف دولار، كان من بينهم ضحايا في قطاعات البرمجيات والخدمات والنقل والخدمات المهنية، وكان يجري تقدير قيمة الفدية بعد إجراء فحوصات مختلفة باستخدام الخدمات عبر الإنترنت.
وأوضحت الإحصاءات أن نشاط العصابة بلغ ذروته في بداية مايو 2021، لكنه توقف تماما يوم 11 مايو، وفسر الخبراء ذلك إما لقيام العصابة بتنفيذ ترقية لأنظمتها أو لحدوث خطأ في النظام، او تعرضها لهجوم إنكار الخدمة من قبل عصابات منافسة، أو اطراف أخرى، ثم عاد النشاط لخوادم العصابة مرة اخري يوم 12 مايو، وزاد في الأسبوع التالي.