في قلب الظلام: كيف يدار الاقتصاد السري لعصابات فيروسات الفدية

الفدية
أسرار وتفاصيل مذهلة ومثيرة، تكشفت خلال الآونة الأخيرة حول عصابات فيروسات الفدية التي شنت هجمات ناجحة مؤثرة في غاية الخطورة علي أعتي المؤسسات والحكومات حول العالم خلال الأشهر الاخيرة، حيث ازاحت هذه التفاصيل الستار عن أن هذه العصابات تدير اقتصادا شديد التطور والحداثة، مكتمل الأركان، ويسير بوتيرة بارعة، تضارع أحدث ما يجري في عالم الاقتصاد الفعلي، ويموج بحركات وتوجهات لا تختلف في جوهرها عما تقوم به الشريحة العليا من شركات التقنية وعلى رأسها فيس بوك وجوجل ومايكروسوفت وغيرهم، إذ يتوفر لهذا الاقتصاد جميع العناصر الأساسية للأعمال التجارية المشروعة، بما في ذلك أدوار الموظفين المحددة، وخطط التسويق والأنظمة البيئية الشريكة وحتى استثمارات رأس المال الاستثماري، وذلك كله جنبا إلى جنب مع أهم السمات المميزة للمؤسسات الإجرامية التقليدية.
خلال الفترة الماضية، اجريت عدة بحوث أمنة متتالية عميقة، بمعرفة خبراء من شركات متخصصة في أمن المعلومات، وتناولت حول العالم السري لعصابات فيروسات الفدية، وكان من بين هؤلاء الخبراء ستيف راجان ،الخبير والباحث الأمني في مؤسسة “اكامي Akamai” لبحوث أمن المعلومات، وبراندون هوفمان خبير أمن المعلومات بشركة انتل 471 لأمن المعلومات، واندريج كريهيل المؤسس والرئيس التنفيذي لشركة لايفارس LIFARS  المتخصصة في الاستجابة للحوادث والطب الشرعي الرقمي، وقام لوسيان كونستانتين المحرر الأول بموقع “سي إس أو” المتخصص في أمن المعلومات، بمراجعتها وتقديم عرض مطول لما توصل إليه الباحثون حول ملامح  الاقتصاد الذى أنشأته وتديره عصابات فيروسات الفدية، وبدوره يقدم قسم أمن المعلومات بمنصة سبعة أيام تقنية تلخيصا لملامح هذا الاقتصاد.
شريان الحياة
كيانات متطورة تضم هياكل مناظرة لأكثر اشكال الاقتصاد الفعلي تقدما
الانطباع الأول الذي يمكن الخروج به حول عصابات فيروسات الفدية، هو أنها باتت شريان الحياة لاقتصاد الجرائم الإلكترونية، نظرا لما تدره على أصحابها من عائدات، مكنتها من إرساء أسس اقتصاد مكتمل الأركان، فهي تشبه في نواح كثيرة هياكل الشركات الحديثة، حيث تبين أن بها هياكل تضم فرق التطوير، وأقسام المبيعات، والعلاقات العامة، والمقاولين الخارجيين ومقدمي الخدمات الذين يحصلون جميعًا على حصص من العائدات غير القانونية، حتى أنهم يستخدمون لغة الأعمال المتطورة في اتصالاتهم مع الضحايا، مشيرين إليهم على أنهم عملاء يشترون خدمات فك تشفير البيانات الخاصة بهم، بعبارة أخرى في التنظيم الهيكلي، وطريقة ممارسة الأعمال تضع أمامنا عالم أعمال بالطريقة المعروفة في الأحوال العادية تماما، والفارق يتمثل في أنه عالم أكثر قتامة وظلاما والتواء.
فرق عمل متخصصة
بصورة اكثر تفصيلا، فإنه من خلال النظر في العناصر التي تنطوي عليها أعمال عصابات  برامج الفدية وكيفية تنظيم المجموعات داخلها، يسهل رؤية أن برامج الفدية في قلب اقتصاد الجرائم الإلكترونية، حيث توظف مجموعات برامج الفدية  فرق عمل متخصصة، من بينها على سبيل المثال لا الحصر:
  • فرق كتابة برامج تشفير الملفات (فريق التطوير)
  • فرق إعداد وصيانة مواقع الدفع والتسرب وقنوات الاتصال (فريق البنية التحتية لتكنولوجيا المعلومات)
  • فرق الإعلان عن خدمة برامج الفدية في المنتديات (فريق المبيعات)
  • فرق التواصل مع الصحفيين ونشر الرسائل على Twitter والإعلانات على مدوناتهم (فريق العلاقات العامة وشبكات التواصل الاجتماعي)
  • فرق التفاوض بشأن مدفوعات الفدية (فريق دعم العملاء)
  • فرق إجراء القرصنة اليدوية والحركة الجانبية على شبكات الضحايا لنشر برنامج رانسومواري مقابل جزء من الربح، وهذه الفرق أشبه بالمقاولين الخارجيين المعروفين باسم الشركات التابعة أو مختبرو الاختراق، وغالبًا ما تشتري الشركات التابعة إمكانية الوصول إلى الشبكات من مجرمي الإنترنت الآخرين الذين قاموا بالفعل بخرق الأنظمة باستخدام برامج أحصنة طروادة أو شبكات الروبوت أو من خلال بيانات الاعتماد المسروقة. تُعرف هذه الأطراف الثالثة باسم وسطاء الوصول إلى الشبكة. قد تشتري الشركات التابعة أيضًا مقالب بيانات تحتوي على معلومات حساب مسروقة أو معلومات داخلية يمكن أن تساعد في الاستطلاع المستهدف. غالبًا ما يتم استخدام خدمات البريد الإلكتروني العشوائي والاستضافة المضادة للرصاص من قبل عصابات برامج الفدية الضارة.
في هذه النقطة، انتهي براندون هوفمان في بحثه إلي إنه يوجد الكثير من الأطراف في النظام البيئي للجرائم الإلكترونية التي تكسب المال بشكل مباشر أو غير مباشر بفضل برامج الفدية الضارة. لذلك من المعتاد أن تصبح هذه المجموعات أكثر احترافًا وتعمل بشكل مشابه للشركات مع المستثمرين والمديرين وتسويق المنتجات ودعم العملاء وعروض الوظائف والشراكات وما إلى ذلك. ويضيف: لقد أصبحت الجريمة الإلكترونية السرية في الأساس اقتصادًا في حد ذاته حيث يوجد لديك مقدمو خدمات، ومنشئو منتجات، ومموّلون، ومزودو بنية تحتية، إنه اقتصاد مثلنا تمامًا حيث لديك كل هؤلاء الموردين والمشترين لأشياء مختلفة. تمامًا كما هو الحال في اقتصاد السوق الحر، نظرًا لتوفر كل هذه الأنواع المختلفة من مقدمي الخدمات ومقدمي المنتجات، فمن الطبيعي أن يبدأوا في العمل معًا وبناء عمل تجاري معًا لتقديم حزمة من الخدمات والسلع، تمامًا كما نفعل هنا في الاقتصاد القياسي.
أما ستيف راجان فانتهي إلي القول: لقد عرفنا منذ سنوات أن المجرمين لديهم دورة حياة لتطوير البرمجيات مثلنا تمامًا، ولديهم تسويق، علاقات عامة وإدارة وسطى. لديهم أشخاص مسؤولون عن مجرمين من المستوى الأدنى يقدمون تقاريرهم إلى مجرمين رفيعي المستوى، وهذا ليس جديدً، لكن فقط ازيح الستار عنه، وبدأ  المزيد من الناس يسمعونه ويهتمون بالتوازي.
التكيف مع ضغوط السوق
فرق للبحوث وأخري للتسويق وثالثة لإدارة العملاء ورابعة للعلاقات العامة
رصد الخبراء ملمحا آخر من ملامح الاقتصاد السري لعصابات برامج الفدية، وهو التكيف مع ضغوط السوق تكيفا مؤسسيا منظما، تماما مثلما يحدث في المؤسسات الاقتصادية في الاقتصاد الفعلي وتجسد هذا الأمر في رد الفعل الذي اتخذته هذه العصابات بعد هجماتها الناجحة شديدة الضرر والمقلقة للغاية خلال الأشهر الأخيرة.
وبحسب التفاصيل التي جمعها الخبراء عن هذا الجانب، فقد أدت هجمات برامج الفدية إلى شل العديد من المستشفيات والمدارس والخدمات العامة والمؤسسات الحكومية المحلية والولائية وحتى إدارات الشرطة على مر السنين، لكن الهجوم في أوائل مايو على خط أنابيب كولونيال، وهو أكبر نظام خطوط أنابيب للمنتجات النفطية المكررة في الولايات المتحدة، كان علامة فارقة.
نفذ هذه الهجمة  عصابة الجانب المظلم Side Dark التي تتخذ من روسيا مقراً لها وتدعى، واجبرت الشركة على إغلاق نظام خطوط أنابيب البنزين بالكامل لأول مرة في تاريخها البالغ 57 عامًا لمنع برامج الفدية من الانتشار إلى أنظمة التحكم الحرجة. أدى ذلك إلى نقص الوقود عبر الساحل الشرقي للولايات المتحدة.
حظي الحادث باهتمام واسع في وسائل الإعلام وفي واشنطن حيث سلط الضوء على التهديد الذي تشكله برامج الفدية على البنية التحتية الحيوية، مما أثار نقاشات حول ما إذا كان ينبغي تصنيف مثل هذه الهجمات على أنها شكل من أشكال الإرهاب.
هنا بدأت الاستجابة المنظمة المؤسسية من جانب العصابة، باعتبارها تديرها اقتصادا سريا احترافيا، لا نشاطا عشوائيا عرضيا، ففور ادراكها لخطورة الموقف، ما كان منها إلا أن أعلنت عن تقديم ما أطلقت عليه سياسة “الاعتدال” للشركات التابعة لها، أو متعاقدو الجهات الخارجية الذين يقومون في الواقع بقرصنة ونشر برامج الفدية، ووفقا لسياسة الاعتدال تقرر وقف الهجمات ضد المنشآت الصحية والتعليمية والحكومية الحيوية، مدعين أنهم يريدون “تجنب العواقب الاجتماعية في المستقبل.
لم تكن عصابة الجانب المظلم وحدها التي مضت في هذا الاتجاه، فبعد أيام فقط من الهجوم، أعلن مسؤول منتدي إكس اس اس XSS، أحد أكبر منتديات الجرائم الإلكترونية باللغة الروسية، عن حظر جميع الأنشطة المتعلقة ببرامج الفدية على المنصة مشيرًا إلى “الكثير من العلاقات العامة” وزيادة مخاطر إنفاذ القانون إلى “المستوى الخطير، ثم تبعتها مجموعات برامج الفدية البارزة الأخرى بما فيها مجموعة آر إيفل REvil، التي أعلنت سياسات اعتدال مماثلة للشركات التابعة لها، تحظر الهجمات على مؤسسات الرعاية الصحية والتعليمية والحكومية، في محاولة للسيطرة على أضرار العلاقات العامة. هذا أيضًا لم يكن كافيًا. وسرعان ما تبع منتديان كبيران آخران للجرائم الإلكترونية، وهما اكسبوليد Exploit وريد Raid، حظرًا على أنشطة برامج الفدية.
في أعقاب ذلك، أعلنت عصابة الجانب المظلم أنها ستغلق عملياتها بعد أن فقدت أيضًا الوصول إلى مدونتها وخادم الدفع ومحفظة بيتكوين والبنية التحتية العامة الأخرى التي تمتلكها، مدعيةً أن مزود الاستضافة الخاص بها لم يستجب إلا بـأنه قام بذلك “بناءً على طلب وكالات إنفاذ القانون، وبعد  شهر واحد، أعلن مكتب التحقيقات الفيدرالي إف بي آي، أنه تمكن من استرداد 4.4 مليون دولار من العملة المشفرة التي اضطرت شركة كولونيال إلي دفعها للمتسللين لفك تشفير أنظمتها.
وكان حظر أنشطة برامج الفدية على أكثر منتديات الجرائم الإلكترونية شيوعًا تطوراً هاماً لأن هذه المنتديات كانت لسنوات عديدة المكان الأساسي الذي توظف فيه مجموعات برامج الفدية الشركات التابعة لها. توفر هذه المنتديات وسيلة سهلة للتواصل العام والخاص بين مجرمي الإنترنت وحتى تقديم خدمات ضمان الأموال للمعاملات التي لا تعرف الأطراف وتثق ببعضها البعض.
احتواء وعودة
بمرور الوقت تبين أن سياسات الاعتدال التي أعلنت عنها العصابات وطبقتها، لم تكن سوى خطة احتواء ملتوية بارعة، هدفها امتصاص الغضب، وتفادى ردود الفعل العنيفة من جانب الحكومات، وبحسب ما توصل إليه الخبراء، فإن عملية الاحتواء كانت أيضا جهدا منظما مؤسسيا من قبل العصابات، تماما كما يحدث حينما تتخذ البنوك المركزية مثلا خطوات جماعية لتفادى انهيار مالي، أو السيطرة علي أزمات مفاجئة بالأسواق.
لم تطبق العصابات سياسات الاعتدال بصورة منفردة، بل علي التوازي معها كونت لنفسها “خط رجعة” وسياسات وتكتيكات بديلة منظمة هي الأخرى، وفي هذا السياق  قال راجان أن قيام العديد من منتديات جرائم الإنترنت بحظر مناقشات ومعاملات برامج الفدية على منصاتهم في وقت سابق من هذا العام، لم يكن له تأثير كبير على قدرة مجموعات برامج الفدية على تنظيم نفسها، بل تبين إن الحظر دفع نشاطهم إلى مزيد من السرية، مما يجعل من الصعب على الباحثين والشركات الأمنية مراقبته، وبات البعض يتساءل  عن خطوتهم التالية، وهل سينتقلون إلى المنتديات الأقل شهرة؟ أم  سينشئون مواقعهم الخاصة للإعلان والتواصل مع الشركات التابعة؟ وهل سينتقلون إلى برامج الدردشة في الوقت الفعلي مثل جابر وتيليجرام؟
 أضاف راجان: ما فعلوه هو نقل تلك المناقشات إلى مجموعات خاصة أخرى”. والخروج من دائرة الضوء العامة لأطول وقت ولم يعد أحد بقادر على توقع الكثير من التغييرات، لسوء الحظ، هذا يعني أنك لن تعرف المتغيرات الجديدة أو الوظيفة الجديدة التي تمت إضافتها حتى يتم إصابة الضحية الأولى.
مرونة وتنقل
تنقلات للخبرات والأموال بين المجموعات على غرار خبراء جوجل وفيس بوك
اكتشف الباحثون أيضا أن هذه العصابات متمرسة جيدا علي تطبيق مبدأ المرونة والتنقل، لكوادرها من مجموعة أو عصابة لأخرى، في سياق سلس له قواعد وأدبيات، على غرار ما يحدث من حركة تنقلات، وتلاقح للخبرات والعقول، بين أكبر شركات ومؤسسات التقنية العالمية، وعلى رأسها جوجل وفيس بوك.
كشفت عمليات الرصد التي تمت عن أنه كل بضعة أشهر، تعلن مجموعة بارزة في مجال برامج الفدية عن إغلاق عملياتها، وعندما يقررون التفكيك، تطلق هذه المجموعات مفاتيحها الرئيسية التي قد تساعد بعض الضحايا الذين لم يدفعوا بالفعل فدية أو استعادوا ملفاتهم من النسخ الاحتياطية، لكن المجرمين الذين يقفون وراء المجموعات لا يختفون حقًا أو يذهبون إلى السجن، بل ينتقلون فقط إلى مجموعات أخرى أو يغيرون الأدوار، على سبيل المثال من مدير عملية ناجحة لبرامج الفدية إلى مستثمر.
قارن راجان هذا السلوك، بسلوك بالمجرمين التقليديين الذين يستخدمون الشركات الوهمية لتحويل الأموال، وبعد ذلك، عندما يزداد الجدل، ويرتفع الخطر عليهم، يتم تفكيكهم والمضي قدمًا، ويقول انها تقريبا بالضبط مثل هذا، ومرة ​​أخرى، هذا تشابه آخر بين العالم الإجرامي وما نراه على جانبنا من الجدار الصغير. كلاهما عمل إجرامي، لكن في الوقت نفسه، المنظمات التي لا تفكر في الإنترنت، اعتادت على مفهوم الشركات الوهمية وكيف يمكن استخدامها للوسائل الشائنة.
وأشار الرصد الذي قام به كيرهيل إلى أن عمر عصابات برامج الفدية  عادة ما يكون حوالي عامين، لأنهم يدركون أنه بعد ذلك الوقت سيحصلون على الكثير من الاهتمام، خاصةً إذا كانوا ناجحين جدًا، وأفضل شيء يجب فعله هو تقاعد المجموعة وإنشاء واحدة جديدة، وربما يتقاعد بعض الأعضاء ويصبحون من أصحاب رؤوس الأموال في مجموعات أخرى، لكن هذا الخلط في المجموعات يتعلق بشكل أكبر بإحداث الارتباك لدى جهات إنفاذ القانون، ليصعب عليها  الحصول على جميع أسماء المشاركين.
ولوحظ أيضا أن عائد الاستثمار من برامج الفدية جيد جدًا لدرجة أن مجرمي الإنترنت المهنيين لا يمكنهم تحمل عدم التورط فيه. هذا هو السبب في أن المجموعات التي ارتبطت بأشكال أخرى من الجرائم الإلكترونية، مثل سرقة بطاقات الائتمان أو القرصنة على البنوك، بدأت إما في تبني برامج الفدية كتيار للإيرادات أو التعاون مع عصابات برامج الفدية.
نظام بيئي للتفكيك والبناء
يقول راجان: لقد تفككت عصابات وانضم أعضاؤها إلى عصابات أخرى وعقدت تحالفات، وحرفيًا، إذا كنت ستوازي ذلك على نحو مشابه للعالم الواقعي، فإن عمليات الدمج والاستحواذ. قد يعتقدون أنهم حصلوا على المواهب من المجموعات الأخرى التي انضمت إليهم وهم الآن يطورون برامج الفدية الخاصة بهم، أو أنهم حصلوا على برامجهم التابعة ودمجها إلى واحد.
اكد هوفمان على هذه النقطة قائلا إنه من الواضح تمامًا أن بعض السلالات الجديدة من برامج الفدية، والعصابات الجديدة ورائها، تنبع على الأرجح من مجموعات قديمة، وكل الذين انفصلوا وقاموا بإنشاء أشياء أخرى، وكل العصابات الجديدة التي تظهر ليست كلها مرتبطة، ولكن هناك ارتباط كبير بين المجموعات الجديدة والقديمة، وقد تخدم بعض المجموعات الجديدة أيضًا غرض تجنيد أشخاص جدد في العمل ومنحهم منصة حيث يمكنهم اكتساب الخبرة. عندما تخدم الجماعة هدفها وتعيش حياتها، ينتقل بعض المنتسبين إليها إلى مجموعات أكثر رسوخًا.
يقول كريل: “هناك نظام بيئي للتفكيك والبناء وتأجير المجرمين الذين لديهم سجل إجرامي جيد، والذين نفذوا مهام هجومية جيدة ولم يتم القبض عليهم، فهؤلاء الأشخاص أصبحوا الآن أكثر تكلفة وقد تمت إضافة خبراتهم إلى سيرتهم الذاتية الإجرامية وتثق بها العصابات الإجرامية. ويبدو أيضًا أن الحالة هي أن الأعضاء غالبًا ما يغيرون المجموعات، ويبدو الأمر كما لو كنت تنظر إلى جوجل وفيس بوك،  أو بعض الشركات الكبيرة حيث يقوم الأشخاص بتبديل وظائفهم. لذلك، هناك هذا التبديل المستمر للوظيفة.
لا نية للتخلي
خلص الخبراء إلى ان عصابات فيروسات الخدمة واقتصادها السري، ليس لديها النية مطلقا للتخلي عن أنشطتها، وعازمة على إدارة هذا الاقتصاد وفق آليات الاحتواء والكر والفر، استنادا لقواعد لا تختلف كثيرا عن الاقتصاد الفعلي، والإصرار على الاستمرار سببه الأول أن برامج الفدية مربحة للغاية، والكثير من عصاباتها في روسيا أو دول الاتحاد السوفيتي السابق، حيث يكون احتمال إلقاء القبض عليهم لابتزاز الأموال من المنظمات الغربية منخفضًا، وغالبًا ما يكون للبرامج الضارة التي تنشأ في روسيا أو كومنولث الدول المستقلة عمليات فحص مضمنة تمنع نشرها على الحاسبات التي تستخدم اللغة الروسية أو لغات أخرى من بلدان رابطة الدول المستقلة، وهي قاعدة غير مكتوبة، لكن يعرفها منشئو البرامج الضارة ومجرمو الإنترنت، ومفادها “لا تستهدف الشركات المحلية وستكون بخير”، وتعلم هذه العصابات جيدا أن روسيا لا تقوم بتسليم مواطنيها، وبالنظر إلى المناخ الجيوسياسي الحالي بين بين روسيا والغرب، فإن زيادة التعاون على مستوى إنفاذ القانون بشأن الجرائم الإلكترونية أمرا غير مرجحا، وهو ما يوفر الفرصة للاقتصاد السري لبرامج الفدية لمزيد من الاستمرار والازدهار.