جمّدت سلطات إنفاذ القانون أكثر من 41 مليون يورو (ما يعادل 47 مليون دولار تقريباً) من العملات الرقمية الإجرامية ضمن عملية "إندغيم"، وفق ما أعلنه يوروبول يوم الأربعاء. وقد فكّكت العملية التي استمرت أسبوعين وشملت عدة دول البنية التحتية وراء ثلاث عائلات من البرمجيات الخبيثة — SocGholish وAmadey وStealC — التي تسرق كلمات المرور وبيانات محافظ العملات الرقمية لتمكين الاحتيال وهجمات برامج الفدية. استهدفت الضربة منصّات الجريمة السيبرانية كخدمة التي تستنزف محافظ العملات الرقمية بهدوء عبر استخراج بيانات الاعتماد والمفاتيح الخاصة من الأنظمة المصابة.
عائلات البرمجيات الخبيثة تستهدف بيانات اعتماد محافظ العملات الرقمية
تستهدف العائلات الثلاث مستخدمي العملات الرقمية عبر نواقل هجوم مختلفة. فبرنامج StealC، وهو أداة سرقة معلومات تُباع كخدمة منذ عام 2023، يستخرج كلمات المرور وملفات تعريف الارتباط للمتصفح وبيانات محافظ العملات الرقمية من الأجهزة المصابة. وجد باحثون في شركة Proofpoint أن لوحة التحكم الخاصة به تضمّنت إضافةً تحاول فك تشفير عبارات الاسترداد من محافظ MetaMask الخاصة بالضحايا.
أما Amadey فيؤسّس وصولاً أوليّاً إلى النظام وينشر برمجيات خبيثة إضافية. بينما يصيب SocGholish، المرتبط بالمجموعة الروسية Evil Corp، المستخدمين عبر مطالبات تحديث زائفة للمتصفح على مواقع إلكترونية مخترقة. وتنتهي سلسلة البرمجيات الخبيثة باستنزاف المحافظ، والاستيلاء على الحسابات، ونشر برامج الفدية.
أصبحت أدوات سرقة المعلومات طريقاً رئيسياً لسرقة العملات الرقمية عبر استخراج ملفات المحفظة والمفاتيح الخاصة وعبارات الاسترداد من أجهزة الضحايا. وتشمل نواقل الهجوم أدوات الذكاء الاصطناعي المزيّفة، وخلفيات Steam، وتعديلات الألعاب المقرصنة.
الشرطة تفكّك 326 خادماً وتستعيد 27 مليون بيان اعتماد
أفشلت العملية 326 خادماً و142 نطاقاً. استعادت الشركة ما يقرب من 27 مليون بيان اعتماد مسروق من أكثر من 385,000 نظام مخترَق، ونظّفت ما يقرب من 15,000 موقع إلكتروني مصاب، كثير منها يعود لأعمال تجارية صغيرة.
وقد ربطت مايكروسوفت، الشريكة في العملية، بين Amadey وStealC وأكثر من 140,000 جهاز كمبيوتر مصاب حول العالم في أول أسبوعين من مايو وحده. في وقت سابق من العام الماضي، كشف إجراء سابق ضمن عملية "إندغيم" عن بيانات تسجيل دخول لأكثر من 100,000 محفظة عملات رقمية مسروقة من الضحايا لكنها لم تُفرّغ بعد.
مايكروسوفت ترفع دعوى قضائية بموجب قانون "ريكو" ضد مشغّلي البرمجيات الخبيثة
رفعت وحدة الجرائم الرقمية في مايكروسوفت دعوى قضائية أمريكية بموجب قانون مكافحة الابتزاز والفساد (RICO) تعامل فيها عائلتي البرمجيات الخبيثة كمؤامرة إجرامية واحدة. وباستخدام أدوات الذكاء الاصطناعي بما فيها Copilot لتحليل البرمجيات الخبيثة، وجد المحققون أن Amadey وStealC، رغم بنائهما من قبل مجرمين مختلفين، يعملان على بنية تحتية مشتركة.
أتاح الإجراء القانوني لمايكروسوفت محاكمة الممكّنين عبر عمليتيهما بموجب قانون RICO، وتعطيل أكثر من 200 خادم تحكّم وسيطرة. وقد حدّدت الشركة أكثر من 18,000 جهاز كمبيوتر ضحية وبدأت في قطع سيطرة المهاجمين.
تنبيهات الضحايا تُوجّه عبر خدمة Have I Been Pwned
يُوجّه يوروبول وشركاؤه تنبيهات الضحايا عبر خدمات مثل Have I Been Pwned، مما يتيح للمستخدمين التحقق مما إذا كانت بيانات اعتمادهم ومفاتيح محافظ العملات الرقمية الخاصة بهم في أيدي المجرمين. وقد أرسل مشغّلو StealC بناءً محدّثاً من البرمجيات الخبيثة في وقت سابق من هذا الشهر.
أسئلة متكررة
ماذا أعلن يوروبول يوم الأربعاء بشأن عملية "إندغيم"؟
أعلن يوروبول أن سلطات إنفاذ القانون جمّدت أكثر من 41 مليون يورو (47 مليون دولار) من العملات الرقمية الإجرامية وفكّكت البنية التحتية وراء ثلاث عائلات من البرمجيات الخبيثة — SocGholish وAmadey وStealC — خلال عملية استمرت أسبوعين وشملت عدة دول.
كم عدد الخوادم وبيانات الاعتماد التي استعادتها الشرطة في إجراءات عملية "إندغيم"؟
أفشلت الشرطة 326 خادماً و142 نطاقاً، واستعادت ما يقرب من 27 مليون بيان اعتماد مسروق من أكثر من 385,000 نظام مخترَق، ونظّفت ما يقرب من 15,000 موقع إلكتروني مصاب خلال العملية.
