أعلنت أستراليا علنًا عن اسم متسلل روسي وفرضت عليه عقوبات إلكترونية لدوره المزعوم في هجوم برامج الفدية عام 2022، في أول استخدام للبلاد لـ الغرامة.
سرق الهجوم بيانات شخصية حساسة من 9.7 مليون عميل لدى Medibank، إحدى أكبر شركات التأمين الصحي الخاصة في أستراليا: بما في ذلك الأسماء وتواريخ الميلاد والمعلومات الطبية وأرقام الرعاية الطبية. وتم نشر بعض هذه السجلات على شبكة الإنترنت المظلمة، وفقا للسلطات الأسترالية.
وقالت الشرطة الفيدرالية الأسترالية في ذلك الوقت إن المحققين يعرفون هوية المهاجمين لكنها رفضت الكشف عن أسمائهم. وكشفت الحكومة الأسترالية يوم الثلاثاء عن اسم الشخص الخاضع للعقوبات، وهو المواطن الروسي ألكسندر إرماكوف، 33 عامًا، وهو عضو مزعوم في عصابة برامج الفدية الروسية REvil.
تجعل العقوبات من الجرائم الجنائية تقديم الأصول إلى إرماكوف، أو استخدام أصوله أو التعامل معها، بما في ذلك من خلال محافظ العملات المشفرة أو مدفوعات برامج الفدية، وفقًا لبيان صحفي حكومي.
ويعاقب على هذه الجريمة بالسجن لمدة تصل إلى 10 سنوات. كما فرضت الحكومة حظراً على السفر على إرماكوف.
وقال ريتشارد مارلز، نائب رئيس الوزراء ووزير الدفاع، في البيان إن السلطات الأسترالية “عملت بلا كلل على مدى الأشهر الثمانية عشر الماضية لكشف المسؤولين عن الهجوم الإلكتروني على Medibank Private”.
وشمل التحقيق تعاونًا بين وكالة الاستخبارات الفيدرالية، مديرية الإشارات الأسترالية، والشرطة الفيدرالية الأسترالية، ومكتب التحقيقات الفيدرالي ووكالة الأمن القومي (NSA) في الولايات المتحدة، ووكالة الأمن السيبراني في المملكة المتحدة GCHQ – وكذلك مع شركات بما في ذلك Microsoft (MSFT) و Medibank ، قال مارلز في مؤتمر صحفي يوم الثلاثاء.
وقال خبراء الأمن السيبراني وقت حدوث خرق البيانات إنه من المحتمل أن يكون مرتبطًا بشركة REvil، التي سبق لها أن شنت هجمات كبيرة على أهداف في الولايات المتحدة وأماكن أخرى. أدى أحد هذه الهجمات على مورد اللحوم الدولي JBS Foods في عام 2021 إلى إيقاف عملية معالجة لحوم البقر الأمريكية بالكامل للشركة ودفع الشركة إلى دفع فدية قدرها 11 مليون دولار.
بناءً على طلب من الولايات المتحدة، اعتقلت وكالة المخابرات التابعة لجهاز الأمن الفيدرالي الروسي (FSB) عدة أشخاص مرتبطين بـ REvil في يناير 2022، وصادرت ملايين الدولارات وداهمت منازل 14 شخصًا.
وعندما وقع هجوم Medibank في وقت لاحق من ذلك العام، قال الخبراء إنه من الممكن أن يكون قد تم تنفيذه من قبل أحد أعضاء REvil – وهو ما أكدته السلطات الأسترالية يوم الثلاثاء.
“إن REvil هي واحدة فقط من عصابات الجريمة الإلكترونية الروسية العديدة، وتلك العصابات التي نعرفها ديناميكية ولديها شركاء متعددون. وقالت أبيجيل برادشو، رئيسة مركز الأمن السيبراني الأسترالي، في المؤتمر الصحفي: “لذا فإن تعطيل REvil في وقت ما لا يوقف أعمالها”.
ومع ذلك، قالت إن “مجرمي الإنترنت يتاجرون في عدم الكشف عن هويتهم” – لذا فإن تسمية إرماكوف علنًا “سيضر بالتأكيد” بأنشطته، بالإضافة إلى الضربة المالية للعقوبة.
وأضاف مارليس أنه بهذا الإعلان، “أصبحت هويته واضحة تمامًا الآن لكل وكالة حول العالم، ولكن أيضًا لأي شخص يسعى للعمل معه، لذلك سيكون لهذا تأثير كبير جدًا على ألكسندر إرماكوف”.
وقال مارليس إن التحقيقات جارية مع أفراد آخرين مرتبطين بالهجوم.
البيانات المسروقة لا تخص العملاء الأستراليين فحسب، بل تخص 1.8 مليون عميل دولي. تم تقديم طلب فدية أولي بقيمة 10 ملايين دولار (15 مليون دولار أسترالي). وتم تخفيض المبلغ لاحقًا إلى 9.7 مليون دولار، وهو ما رفض Medibank دفعه.
حثت السلطات الأسترالية الشركات والأفراد مرارًا وتكرارًا على عدم دفع فدية لمجرمي الإنترنت، بحجة أن الدفع لا يضمن استعادة البيانات أو منع المزيد من الهجمات – ويجعل البلاد هدفًا أكبر.
