من مفاوض إلى متواطئ: السقوط الصادم لعميلٍ داخلي في عالم برامج الفدية

مستجيب سيبراني موثوق تحوّل إلى خائن، كاشفًا المخاطر الخفية لتهديدات الداخل في معركة مكافحة برامج الفدية.

عندما تقع هجمة سيبرانية، تلجأ الشركات إلى محترفي الاستجابة للحوادث طلبًا للمساعدة. لكن ماذا يحدث عندما يكون المفاوض يعمل سرًا لصالح المجرمين؟ هذا السؤال المقلق أصبح واقعًا بعدما اعترف أنجيلو مارتينو، مفاوض برامج فدية مخضرم، بخيانة عملائه والتآمر مع مجموعة برامج الفدية سيئة السمعة BlackCat/ALPHV. لقد هزّت القضية عالم الأمن السيبراني، كاشفةً عن جانبٍ مظلم يمكن فيه تسليح الثقة - وبيعها لمن يدفع أكثر.

حقائق سريعة

أنجيلو مارتينو، مفاوض برامج فدية سابق، أقرّ بالذنب في التآمر مع BlackCat/ALPHV في هجمات استهدفت شركات أمريكية.
أساء مارتينو استغلال دوره في شركة استجابة لحوادث الأمن السيبراني لتسريب بيانات سرية لعملاء إلى منفّذي برامج الفدية.
ابتزّ هو واثنان آخران من محترفي الأمن السيبراني ما لا يقل عن 1.2 مليون دولار من الضحايا، مع غسل العائدات.
صادرت جهات إنفاذ القانون أصولًا بنحو 10 ملايين دولار من مارتينو، بما في ذلك عملات رقمية ومقتنيات فاخرة.
يواجه الثلاثة عقوبة تصل إلى 20 عامًا سجنًا بتهمة الابتزاز؛ ومن المقرر النطق بالحكم في أبريل ويوليو 2024.

ترسم إفادات وزارة العدل صورة مقلقة: مارتينو، البالغ 41 عامًا، استغل وصوله الداخلي في شركة أمريكية للاستجابة للحوادث ليمدّ مهاجمي BlackCat بمعلومات مميّزة عن الشركات الضحية. وشمل ذلك تفاصيل مثل حدود وثائق التأمين واستراتيجيات التفاوض - معلومات كان يفترض أن تساعد الضحايا لا أن تعظّم أرباح المجرمين. لكن خيانة مارتينو مكّنت BlackCat من انتزاع فديات أعلى، عبر تحويل دفاعات عملائه أنفسهم إلى سلاح ضدهم.

لم يكن مارتينو يتصرف وحده. فقد تآمر مع اثنين آخرين من المطلعين في مجال الأمن السيبراني، رايان غولدبرغ وكيفن مارتن، لنشر برمجية فدية BlackCat ضد عدة منظمات أمريكية بين أبريل ونوفمبر 2023. وبعد انتزاع 1.2 مليون دولار بعملة بيتكوين من أحد الضحايا، قام الثلاثي بغسل حصتهم عبر قنوات مختلفة. وتؤكد مصادرات الأصول التي نفذتها جهات إنفاذ القانون - والتي تراوحت من شاحنة طعام إلى قارب فاخر وملايين من العملات الرقمية - حجم العملية.

شدّدت كل من DigitalMint وSygnia، جهتا عمل الأطراف الذين أقرّوا بالذنب، على التعاون الكامل مع السلطات والفصل الفوري للعناصر المارقة. وتعكس بياناتهما قلقًا أوسع في القطاع: حتى المهنيون الموثوقون قد يشكلون تهديدًا عندما تفشل الرقابة والضوابط الداخلية.

يحذّر الخبراء من أن هذه القضية جرس إنذار. إذ يدعو دانيال توبوك، الرئيس التنفيذي لشركة Cypfer ومفاوض برامج فدية متمرس، إلى فصل صارم بين وظيفتي التفاوض والدفع. ويشرح توبوك: «عندما يكون هناك فصل واضح، لا يكون لدى المشاركين ما يكسبونه شخصيًا»، مؤكدًا الحاجة إلى حواجز تمنع تضارب المصالح. ويضيف موراي هابر، كبير مستشاري الأمن في BeyondTrust، أن الثقة يجب التحقق منها باستمرار - حتى مع من يتم توظيفهم للحماية.

تسلّط هذه الخيانة للثقة الضوء على خطر متنامٍ: تهديد الداخل. ومع ازدياد تعقيد هجمات برامج الفدية، قد يصبح المدافعون أنفسهم الحلقة الأضعف، خصوصًا عندما تدفعهم الطمع أو الإكراه. وبالنسبة للمنظمات التي تواجه برامج الفدية، فالدرس واضح - ثق، لكن تحقّق، وابنِ ضمانات داخلية قوية للحماية من الخيانة من الداخل.

وبينما ينتظر مارتينو وشركاؤه في التآمر صدور الأحكام، تظل قصتهم تذكيرًا مخيفًا: في عالم الجريمة السيبرانية المعتم، قد يكون الخط الفاصل بين الحامي والمفترس رفيعًا كحدّ الشفرة. وبالنسبة للضحايا والمستجيبين على حد سواء، أصبحت اليقظة والضوابط الداخلية القوية أكثر أهمية من أي وقت مضى.

WIKICROOK

برامج الفدية: برامج الفدية هي برمجيات خبيثة تقوم بتشفير البيانات أو قفلها، وتطالب الضحايا بالدفع لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
الاستجابة للحوادث: الاستجابة للحوادث هي العملية المنهجية التي تستخدمها المؤسسات لاكتشاف الهجمات السيبرانية أو خروقات الأمن واحتوائها والتعافي منها، مع تقليل الضرر ووقت التوقف.
تهديد الداخل: تهديد الداخل هو عندما يسيء شخص داخل مؤسسة استخدام صلاحياته للوصول إلى الأنظمة أو البيانات، متسببًا عمدًا أو عن غير قصد في ضرر.
بيتكوين: بيتكوين عملة رقمية تتيح مدفوعات مباشرة عبر الإنترنت. وتُعدّ خاصية إخفاء الهوية فيها سببًا شائعًا لاستخدامها في دفع الفديات في الهجمات السيبرانية.
غسل الأموال: غسل الأموال هو إخفاء مصدر الأموال المتحصلة بشكل غير قانوني لجعلها تبدو مشروعة، وغالبًا عبر معاملات معقدة أو منصات رقمية.