في واحدة من أكثر العمليات الهجومية جرأة في عالم الأمن السيبراني، تمكنت شركة Resecurity الأمريكية من قلب الطاولة على واحدة من أخطر عصابات الفدية الحديثة، المعروفة باسم BlackLock، والتي كانت تُصنف ضمن أسرع العصابات نموًا على مستوى العالم.
من صياد إلى فريسة: كيف سقطت BlackLock؟
منذ مارس 2024، ظهرت BlackLock (المعروفة أيضًا باسم El Dorado) كعصابة فدية كخدمة، توفر أدواتها لمجموعة من الشركاء (Affiliates) لتنفيذ الهجمات. وخلال الربع الأخير من 2024، احتلت المرتبة السابعة عالميًا في حجم التسريبات، بعد زيادة نشاطها بنسبة 1425% مقارنة بالربع السابق، بحسب تقرير ReliaQuest.
لكن في أواخر 2024، اكتشف باحثو Resecurity وجود ثغرة خطيرة في موقع تسريب البيانات الخاص بـ BlackLock على الشبكة المظلمة. هذه الثغرة من نوع Local File Include سمحت لهم بالوصول إلى معلومات حساسة مخزنة على خوادم العصابة.
ماذا وجدت Resecurity؟
نجح الفريق، عبر وحدة HUNTER، في جمع كنز من المعلومات، شمل:
- سجلات الدخول وتفاصيل مزودي الخدمة
- بيانات اعتماد الدخول (SSH credentials)
- الأوامر المنفذة على الخوادم
- بريد إلكتروني مجهول عبر cyberfear.com
- حسابات تخزين بيانات على MEGA باستخدام بريد مؤقت من YOPmail
- مواقع جغرافية تشير إلى الصين وروسيا
تم استخدام هذه المعلومات ليس فقط لفهم البنية التحتية للعصابة، بل أيضًا لإحباط هجمات قبل وقوعها عبر إبلاغ الجهات الأمنية حول العالم، من بينها الولايات المتحدة، كندا وفرنسا.
هجوم مضاد نادر في عالم الأمن السيبراني
في خطوة غير مألوفة من قبل شركات الأمن، لم تكتف Resecurity بجمع المعلومات بل قامت باختراق البنية التحتية لعصابة BlackLock والسيطرة عليها بالكامل. وشملت العملية اختراق حسابات الإداريين بعد فك تشفير كلمات المرور، ونشر تسجيلات مصورة توضح العملية.
وصف الرئيس التنفيذي للشركة، جين يو (Gene Yoo)، الهجوم بأنه “الخيار الأكثر عقلانية”، وأضاف: “تخيل أن هناك قنبلة موقوتة ستنفجر خلال ساعات، ماذا ستفعل؟”.
السقوط المفاجئ ودراما ما بعد الانهيار
في 20 مارس 2025، وبينما كانت Resecurity توصل جهودها، تفاجأ المتابعون بقيام مجموعة فدية منافسة تُدعى DragonForce باختراق موقع BlackLock وتشويهه، ونشر محادثات داخلية حساسة للعصابة مع ضحاياها. ويُعتقد أن الهدف كان إما الإذلال العلني أو التمويه (False Flag) لطمس الهوية الحقيقية للمنفذ.
التحليل العكسي لعينات فدية قديمة كشف تشابهًا كبيرًا في التعليمات البرمجية بين DragonForce وBlackLock، ما يثير تساؤلات: هل استحوذت DragonForce على المشروع؟ أم أن العصابتين كانتا تتعاونان تحت الطاولة؟
نهاية BlackLock… وبداية جديدة لخصم أكثر تنظيمًا
بحلول أواخر مارس 2025، كانت كل المؤشرات تشير إلى تفكك BlackLock بالكامل، مع هروب الشركاء وتحول البنية التحتية إلى أطراف أخرى. وبحسب Resecurity، من غير المحتمل أن تتعافى العصابة، في ظل “إخفاقات كبيرة في أمن العمليات (OPSEC)” وفقدان الثقة داخل شبكتها.
في المقابل، يُتوقع أن تستفيد DragonForce من هذا الفراغ، لتتحول إلى لاعب أكثر قوة في سوق الفدية العالمي.
ختامًا
تُظهر هذه العملية تحولًا نوعيًا في نهج شركات الأمن السيبراني، من الاكتفاء بالدفاع والتحليل إلى الهجوم المباشر والمنسق ضد البنية التحتية للعصابات. وبالنسبة لـ Resecurity، فإن “الهجوم الإلكتروني الاستباقي المدعوم بمعلومات استخباراتية دقيقة” بات أداة فعالة لكسر سلاسل الجريمة الرقمية عالميًا.
