وتقوم مجموعة “القطة السوداء” منذ سنوات بمهاجمة الشركات الكبرى والمؤسسات الحكومية حول العالم، والولايات المتحدة على وجه الخصوص.
ومنذ أن تمكنت المجموعة من تعطيل عمل الوحدة التكنولوجية التابعة لمجموعة UnitedHealth وتعطيل مدفوعات التأمين في الولايات المتحدة، أصبحت مشهورة، لكن العديد من الجوانب المتعلقة بأهدافها وآلية نشاطها تظل غامضة.
وفي أواخر فبراير، تعرضت وحدة التكنولوجيا التابعة لشركة UnitedHealthcare لهجوم إلكتروني، مما تسبب في تعطيل واسع النطاق.
وتلعب هذه الوحدة الحيوية دوراً أساسياً في معالجة المدفوعات من شركات التأمين إلى الشركات الطبية، وأدى الانقطاع الناجم عن الهجوم السيبراني الذي نفذه مهاجمو “القطة السوداء” إلى قيام المرضى والأطباء – في بعض الحالات – بدفع قيمة الخدمات الطبية بحسب ما نقلت رويترز.
وكان للهجوم تأثير شديد على المراكز الصحية المجتمعية التي تخدم أكثر من 30 مليون مريض فقير وغير مؤمن عليه.
وقال المتسللون في وقت سابق من الشهر الجاري، إن الشركة دفعت فدية قدرها 22 مليون دولار لاستعادة أنظمتها، دون أن يعلنوا ما إذا كانوا قد استعادوا خدمات الشركة بعد استلام الأموال، بحسب الوكالة نفسها.
وبعد وقت قصير من الاختراق، نشرت الجماعة بيانًا مزيفًا على موقعها الإلكتروني تدعي فيه أن السلطات تمكنت من وضع أيديها على أنشطتها، في محاولة لإعطاء الانطباع بأن عملياتها قد توقفت.
وعرضت وزارة الخارجية الأميركية، الأربعاء، مكافأة تصل إلى عشرة ملايين دولار لمن يدلي بمعلومات عن جماعة القط الأسود.
وفيما يلي أهم المعلومات عن هذه المجموعة
“قط أسود”
ويقول مكتب التحقيقات الفيدرالي إن Black Cat تم اكتشافه لأول مرة في نوفمبر 2021؛ وكانت الجماعة قد أودت بحياة ما لا يقل عن 60 ضحية في أربعة أشهر.
خلال عام 2021، لاحظت السلطات الأمريكية زيادة في هجمات برامج الفدية المتطورة ضد 16 قطاعًا حيويًا للبنية التحتية في الولايات المتحدة.
وتشمل هذه القطاعات القاعدة الصناعية العامة، والغذاء والزراعة، والمرافق الحكومية، وتكنولوجيا المعلومات.
لاحظت أستراليا والمملكة المتحدة أيضًا زيادة في عدد الجهات الفاعلة في برامج الفدية التي تستهدف المؤسسات الخيرية والخدمات العامة والحكومات المحلية – حيث اعترفت المملكة المتحدة بأن برامج الفدية هي أكبر تهديد إلكتروني لها، حسبما ذكرت أفيرتيوم.
يُشتبه في أن Blackcat هي مجموعة خليفة لـ Darkside/BlackMatter، وفقًا لملف تعريف أعده مركز تنسيق الأمن السيبراني الصحي التابع لوزارة الصحة والخدمات الإنسانية الأمريكية.
على مدار العامين الماضيين، رسخت شركة Blackcat مكانتها باعتبارها ثاني أكبر مؤسسة لبرامج الفدية RaaS في العالم، حيث استخرجت مئات الملايين من الدولارات من ضحاياها.
وتجري العديد من وكالات إنفاذ القانون حول العالم تحقيقات موازية مع المجموعة.
آلية عملها
أصبحت برامج الفدية (RaaS) نموذجًا شائعًا بين المتسللين في السنوات الأربع الماضية، وفقًا لشركة Fast Company.
من خلال هذا البرنامج الذي ستستخدمه BlackCat، يقوم الوسطاء ببيع أو تأجير أدوات الاستغلال أو الأبواب الخلفية للشركات، مما يسمح لهم بالوصول إلى معلومات المستخدم وتثبيت البرامج الضارة والتحكم في موارد النظام.
يبيع هؤلاء الوسطاء إمكانية الوصول هذه مقابل آلاف الدولارات، ويمكن لمهاجمي برامج الفدية أن يطلبوا أضعاف هذا المبلغ من الضحايا.
مثل العديد من شركات برامج الفدية، تستخدم BlackCat أشكالًا متعددة من الابتزاز في هجومها.
وبعد الوصول إلى الأنظمة والمعلومات، فإنه يأخذ بيانات حساسة، ويقوم بتشفير النظام، ويطلب فدية للتراجع عن الأقفال التي وضعها، ويوافق أيضًا على عدم نشر المعلومات (الحساسة عادةً) التي حصل عليها.
إذا لم تدفع الشركة، تقوم المجموعة بنشر المعلومات علنًا إما على الويب المظلم أو على موقع ويب مسرب.
وينشط موقع تسريب BlackCat منذ أوائل ديسمبر 2021، وهناك تكهنات بأن العدد الإجمالي للضحايا، بما في ذلك أولئك الذين دفعوا الفدية، أكبر بكثير مما تم الإعلان عنه.
في أغلب الأحيان، لا يرغب الضحايا الذين يدفعون الفدية في المخاطرة بالكلام.
لدى BlackCat العديد من الأساليب التي يتم استخدامها لمحاولة إضعاف أو تعطيل دفاعات النظام ومنع بعض التطبيقات من قفل الملفات المفتوحة على القرص – مما قد يسبب مشاكل عند محاولة تشفير تلك الملفات.
بالإضافة إلى ذلك، تحاول BlackCat إيقاف العديد من العمليات والخدمات لمنع أي حلول أمنية أو نسخ احتياطية قد تكون لدى المؤسسة.
قيمة الفدية
وتتراوح طلبات الفدية التي تطلبها المجموعة من 400 ألف دولار إلى 3 ملايين دولار، مع منح الضحايا الفرصة للتفاوض على مبلغ أقل إذا اختاروا دفع فدية، وفقًا لشركة أفيرتيوم.
يمكنهم أيضًا اختيار الدفع بعملة Monero أو Bitcoin التي تحافظ على الخصوصية، لكن الدفع بعملة Bitcoin يضيف 15% إلى مبلغ الفدية.
جنسية أعضائها؟
تم الترويج لـ “Blackcat” في منتديات القرصنة باللغة الروسية، وتم تسميتها بهذا الاسم نظرًا لاستخدام رمز القطة السوداء المفضل على موقع الدفع Tor الخاص بكل ضحية.
ومن الصعب تحديد هوية أو جنسية جميع المشاركين، حيث تعتمد المجموعة على متعاونين مستقلين لإصابة شبكات جديدة ببرامج الفدية الخاصة بهم.
“تتلقى هذه الشركات التابعة بدورها عمولات تتراوح بين 60 إلى 90 بالمائة من أي مبلغ فدية يتم دفعه”، وفقًا لموقع Krebson Security.
وفي حين أن الباحثين لم يربطوا بشكل قاطع القطة السوداء بروسيا أو بحكومتها، إلا أنهم خلصوا إلى أنها مجموعة ناطقة بالروسية.
وتحدث مسؤولو الاستخبارات الأميركية مراراً وتكراراً عن استعداد الحكومة الروسية غض الطرف عن الجرائم الإلكترونية، مقابل خدمة المتسللين في العمليات الاستخباراتية، “وكان هذا صحيحاً بشكل خاص خلال الحرب في أوكرانيا”، بحسب موقع إذاعة ويسكونسن العامة.
ضحايا “القط الأسود”
ووفقا لمكتب التحقيقات الفيدرالي، فقد اخترقت مجموعة “القطة السوداء” شبكات الكمبيوتر في الولايات المتحدة وفي جميع أنحاء العالم.
أثرت الاضطرابات الناجمة عن هجوم برنامج الفدية هذا على البنية التحتية الحيوية للولايات المتحدة، بما في ذلك المرافق الحكومية وخدمات الطوارئ وشركات القواعد الصناعية الدفاعية والتصنيع الحيوي ومرافق الرعاية الصحية والصحة العامة – بالإضافة إلى الشركات والوكالات الحكومية والمدارس.
تصل الخسائر العالمية إلى مئات الملايين، وتشمل مدفوعات الفدية، وتدمير وسرقة بيانات الملكية، والتكاليف المرتبطة بالاستجابة للحوادث.
منذ منتصف ديسمبر 2023، كان قطاع الرعاية الصحية في الولايات المتحدة هو الضحية الأكثر شيوعًا من بين ما يقرب من 70 ضحية تم تسريبها.
لكن الجماعة استهدفت ضحايا في العديد من البلدان وفي العديد من القطاعات الاقتصادية.
تعد شركات Solar Industries India وNJRC وMontcler وCreos Luxembourg SA وSwissport International AG من بين العديد من الضحايا المعروفين في الفترة من 2022 إلى 7 مارس 2024، وفقًا لمنصة Barracuda.
