لا تزال أكبر مقاطعة في جورجيا تقوم بإصلاح الأضرار التي لحقت بحكومتها قبل شهر من قبل المتسللين الذين أغلقوا خطوط هاتف المكاتب، وتركوا الموظفين غير قادرين على إصدار تسجيلات المركبات أو تراخيص الزواج وهددوا بالكشف العلني عن البيانات الحساسة التي زعموا أنهم سرقوها ما لم يدفع المسؤولون فدية.
حصلت شركة LockBit لبرامج الفدية على الفضل في الهجوم الإلكتروني الذي وقع في أواخر شهر يناير والذي أدى إلى شل الخدمات الحكومية مؤقتًا في مقاطعة فولتون، التي تضم معظم أتلانتا. وطالبت المجموعة بالدفع، وهددت بنشر البيانات عبر الإنترنت، بما في ذلك المعلومات الشخصية للسكان. كما زعمت أنها سرقت سجلات تتعلق بالقضية الجنائية المعلقة في المقاطعة ضد الرئيس السابق دونالد ترامب.
لتعزيز احتمالات الحصول على أموال، تقوم مجموعات برامج الفدية بسرقة البيانات بشكل روتيني قبل تنشيط البرامج الضارة التي تقوم بتشفير الشبكة. وتساءل بعض محللي الأمن السيبراني عما إذا كان قراصنة مقاطعة فولتون يمتلكون بالفعل ملفات متعلقة بترامب.
انقضى الموعد النهائي للقراصنة يوم الخميس، بعد أقل من أسبوعين من إعلان وكالات إنفاذ القانون في أوروبا والولايات المتحدة أنها عطلت عمليات LockBit، واستولت على أنظمة المجموعة واعتقلت شخصين في الخارج.
بعد فترة وجيزة من الإزالة، عادت LockBit إلى الظهور على الويب المظلم وجددت تهديدها ضد مقاطعة فولتون. ولكن لم يتم نشر أي بيانات مسروقة بعد انقضاء الموعد النهائي، ورفض مسؤولو المقاطعة الدفع.
وقال روب بيتس، رئيس لجنة مقاطعة فولتون، للصحفيين بعد ظهر الخميس: “لسنا على علم بأي بيانات تم إصدارها اليوم حتى الآن”. وأضاف: “هذا لا يعني أن التهديد قد انتهى بأي حال من الأحوال. ويمكنهم نشر أي بيانات لديهم في أي وقت، اليوم أو غدًا أو في وقت ما في المستقبل.
وقال بيتس إن مسؤولي المقاطعة ما زالوا يعملون على استعادة خدمة الهاتف وأنظمة الإنترنت التي لا تزال معطلة بعد أكثر من شهر، على الرغم من إعادة فتح جميع مكاتب المقاطعة واستئناف خدمة السكان إلى حد ما على الأقل.
وقال بيتس، الذي رفض الإجابة على الأسئلة بعد بيانه الموجز: “لم ندفع أي فدية ولم يتم دفع أي فدية نيابة عنا”.
لم يرد المتحدث باسم مقاطعة فولتون على الفور على رسالة بريد إلكتروني يوم الجمعة للحصول على مزيد من التحديثات.
وقع الهجوم الإلكتروني بينما كان المدعي العام لمقاطعة فولتون، فاني ويليس، يقاضي قضية ابتزاز ضد ترامب وآخرين بسبب جهودهم لإلغاء نتائج الانتخابات الرئاسية في جورجيا في عام 2020.
وبينما عطل المتسللون خدمات المحكمة، وبالتحديد إلغاء نظامها عبر الإنترنت لتقديم المستندات القانونية، قال ويليس إن القضية المرفوعة ضد ترامب لم تتأثر.
وقال مكتب ويليس في بيان بتاريخ 30 كانون الثاني/يناير: “يتم الاحتفاظ بجميع المواد المتعلقة بقضية الانتخابات في نظام منفصل وآمن للغاية ولم يتم اختراقه، وهو مصمم لجعل أي وصول غير مصرح به صعبًا للغاية إن لم يكن مستحيلًا”.
كانت LockBit من بين أكثر مجموعات برامج الفدية انتشارًا في العالم عندما تم تعطيلها بشدة في أواخر فبراير من قبل اتحاد دولي لإنفاذ القانون يضم مكتب التحقيقات الفيدرالي. بعد عملية الإزالة، التي يعتقد العديد من خبراء الأمن السيبراني أنها تمثل نهاية LockBit، أصدر متحدث باسم المجموعة بيانًا متضاربًا يدعي أنه لم يتأثر بشكل خطير كما قالت السلطات.
وزعم المتحدث باسم LockBit أن الدافع وراء عملية الإزالة هو رغبة مكتب التحقيقات الفيدرالي في منع تسرب المعلومات المسروقة من مقاطعة فولتون والتي تضمنت “الكثير من الأشياء المثيرة للاهتمام والقضايا القضائية التي رفعها دونالد ترامب والتي يمكن أن تؤثر على الانتخابات الأمريكية المقبلة”.
وقال أحد خبراء الأمن السيبراني إن هذا الادعاء لا أساس له من الصحة على الأرجح، وأن LockBit، وهي عملية ناطقة بالروسية تغاضي عنها الكرملين، ربما لم يكن لديها أي وثائق من هذا القبيل.
وقال يليسي بوهوسلافسكي، كبير مسؤولي الأبحاث في شركة Red Sense للأمن السيبراني: “أعتقد أن هذه الادعاءات زائفة”.
وقال إن LockBit كانت تزييف وتبالغ في ادعاءات سرقة البيانات على مدى السنوات الثلاث الماضية، حتى أنها تنشر البيانات التي حصل عليها الآخرون كما لو كان ذلك من صنعهم.
والاحتمال الآخر هو أن LockBit فقدت إمكانية الوصول إلى البيانات المسروقة في التعطيل الذي حدث من قبل سلطات إنفاذ القانون، حسبما قال محلل برامج الفدية بريت كالو من شركة الأمن السيبراني Emsisoft في منشور على موقع X، تويتر سابقًا.
ويُعتقد أن LockBit قد استخرج 120 مليون دولار من آلاف الضحايا منذ أن بدأ العمل في عام 2019. وهو يمثل 23% من ما يقرب من 4000 هجوم على مستوى العالم في العام الماضي والتي نشرت فيها عصابات برامج الفدية بيانات مسروقة لابتزاز الأموال، وفقًا لشركة الأمن السيبراني بالو ألتو نتوركس. .
يعتقد خبراء الأمن السيبراني أن LockBit كعلامة تجارية قد تكون الآن في سكرات الموت – ولكن يمكن بسهولة أن تظهر من جديد تحت اسم جديد مع نفس الأعضاء الأساسيين، كما حدث مع مجموعات برامج الفدية السابقة التي تعرضت لضغوط مكثفة من إنفاذ القانون.
تعتبر LockBit وغيرها من مجموعات برامج الفدية عمليات مجزأة. خارج المجموعة الأساسية التي تؤجر البرامج الضارة وتحافظ على البنية التحتية للعدوى، هناك ما يسمى الشركات التابعة التي تدير عمليات القرصنة وتنشيط البرامج الضارة والمفاوضات وتحصل على الجزء الأكبر من الأرباح.
في مقاطعة فولتون، أبلغ المسؤولون عن اضطرابات واسعة النطاق في أعقاب الهجوم السيبراني في عطلة نهاية الأسبوع يوم 27 يناير. ولم تتمكن شرطة المقاطعة من تقديم تقارير عن الحادث واضطر مكتب الشريف إلى الاعتماد على النماذج الورقية للتعامل مع المعتقلين في السجن. لم يتمكن السكان من دفع فواتير مرافق المقاطعة عبر الإنترنت أو استخدام الإنترنت للوصول إلى سجلات الممتلكات. لم يتمكن الكتبة من إصدار شهادات الزواج وتصاريح الأسلحة النارية.
وقال بيتس، رئيس المقاطعة، يوم الخميس: “إننا نعمل على استعادة جميع أنظمة مقاطعة فولتون وإحراز بعض التقدم”.
وقال مسؤولو المقاطعة الأسبوع الماضي إنه تم استعادة نظامهم عبر الإنترنت لدفع فواتير المياه، ولكن ليس لدفع ضريبة الأملاك. عادت أنظمة البريد الإلكتروني بالمقاطعة إلى الإنترنت، وكان أكثر من نصف خطوط الهاتف في مكاتب المقاطعة تعمل.
___ أفاد بينوم من سافانا، جورجيا. أفاد باجاك من بوسطن.
