استهداف الأعضاء الأساسيين في DoppelPaymer Ransomware Gang في ألمانيا وأوكرانيا

مارس 7, 2023 - 20:46

استهدفت سلطات إنفاذ القانون من ألمانيا وأوكرانيا الأعضاء الأساسيين المشتبه بهم في مجموعة جرائم الإنترنت التي كانت وراء هجمات واسعة النطاق باستخدام DoppelPaymer ransomware.

تم تنفيذ العملية ، التي جرت في 28 فبراير 2023 ، بدعم من الشرطة الوطنية الهولندية (Politie) ومكتب التحقيقات الفيدرالي الأمريكي (FBI) ، وفقًا لليوروبول.

وشمل ذلك غارة على منزل مواطن ألماني وكذلك عمليات تفتيش في مدينتي كييف وخاركيف الأوكرانية. كما تم استجواب مواطن أوكراني. يُعتقد أن كلا الشخصين قد شغل مناصب حاسمة في مجموعة DoppelPaymer.

وأضافت الوكالة أن "تحليل الطب الشرعي للمعدات المضبوطة لا يزال جاريا لتحديد الدور الدقيق للمشتبه بهم وعلاقاتهم بشركاء آخرين" .

وفي تطور ذي صلة ، أصدرت السلطات الألمانية مذكرات توقيف بحق ثلاثة عملاء مزعومين في DoppelPaymer - لغور أوليجوفيتش توراشيف وإيجور جارشين ( المعروف أيضًا باسم إيغور غارشين) وإيرينا زيمليانيكينا - الذين قيل إنهم "العقل المدبر للجماعة الإجرامية".

لدى Turashev أيضًا مكانًا في قائمة FBI لأهم الهاربين المطلوبين منذ ديسمبر 2019 فيما يتعلق بمؤامرة Dridex للبرامج الضارة ، مما دفع الحكومة الأمريكية إلى فرض عقوبات على Evil Corp في محاولة لـ "تعطيل حملات التصيد الهائلة" التي نظمتها المجموعة.

ظهرت DoppelPaymer ، وفقًا لشركة الأمن السيبراني CrowdStrike ، في أبريل 2019 وتشارك معظم كودها مع سلالة أخرى من برامج الفدية المعروفة باسم BitPaymer ، والتي تُنسب إلى مجموعة غزيرة الإنتاج مقرها روسيا تسمى Indrik Spider (Evil Corp).

تُظهر البرامج الضارة المشفرة للملفات أيضًا تداخلًا تكتيكيًا مع برنامج Dridex الضار سيئ السمعة ، وهو حصان طروادة مصرفي يركز على Windows ووسّع ميزاته ليشمل سرقة المعلومات وقدرات الروبوتات.

"ومع ذلك ، هناك عدد من الاختلافات بين DoppelPaymer و BitPaymer ، والتي قد تشير إلى أن عضوًا واحدًا أو أكثر من Indrik Spider قد انفصل عن المجموعة وقام بتشكيل شفرة المصدر لكل من Dridex و BitPaymer لبدء عملية Big Game Hunting Ransomware الخاصة بهما ، " قال CrowdStrike .

من جانبها ، تم تشكيل Indrik Spider في عام 2014 من قبل الشركات التابعة السابقة لشبكة GameOver Zeus الإجرامية ، وهي شبكة الروبوتات من نظير إلى نظير (P2P) وخليفة لحصان طروادة Zeus Banking.

ومع ذلك ، فإن زيادة التدقيق اللاحق في عمليات إنفاذ القانون في عملياتها دفعت المجموعة إلى تبديل تكتيكاتها ، وإدخال برامج الفدية كوسيلة لابتزاز الضحايا وتحقيق أرباح غير مشروعة.

وقال يوروبول : "تم تمكين هجمات DoppelPaymer بواسطة برمجيات Emotet الخبيثة ". "تم توزيع برنامج الفدية عبر قنوات مختلفة ، بما في ذلك رسائل البريد الإلكتروني المخادعة والبريد العشوائي مع المستندات المرفقة التي تحتوي على تعليمات برمجية ضارة - إما JavaScript أو VBScript."

تشير التقديرات إلى أن الجهات الفاعلة وراء المخطط الإجرامي استهدفت ما لا يقل عن 37 شركة في ألمانيا ، حيث دفع الضحايا في الولايات المتحدة ما لا يقل عن 40 مليون يورو (42.5 مليون دولار) بين مايو 2019 ومارس 2021.

في بيان مشترك مع The Hacker News ، قال يوروبول "تم استجواب الأفراد ، بينما تم الاستيلاء على المعدات الإلكترونية ويتم تحليلها حاليًا". كما اكد ان "الاجراءات الجزائية مستمرة".

تأتي الضربة الأخيرة أيضًا وسط زيادة سرعة إنفاذ القانون والإجراءات الحكومية ضد عصابات الجرائم الإلكترونية المزدهرة في النظام البيئي لبرامج الفدية. في أواخر يناير 2023 ، أزال إجراء منسق البنية التحتية المرتبطة ببرنامج Hive ransomware .

(تم تحديث القصة بعد النشر لتتضمن ردًا من اليوروبول ومزيدًا من المعلومات حول ثلاثة مشتبه بهم آخرين مطلوبين من قبل سلطات إنفاذ القانون لدورهم في عملية DoppelPaymer.)