سقوط LockBit، کلاهبرداری BlackCat و ظهور RansomHub — چگونه Ransomware در ۲۰۲۴ بازآرایی شد

عملیات Cronos در فوریه ۲۰۲۴ زیرساخت LockBit را فلج کرد، ALPHV/BlackCat با یک کلاهبرداری خروجی ۲۲ میلیون دلاری چند هفته بعد از هم پاشید، و RansomHub با جذب وابستگان آواره به پرکارترین اپراتور Ransomware سال ۲۰۲۴ تبدیل شد. پیروزی‌های نیروهای امنیتی این تهدید را کوچک نکردند — بلکه آن را در قالبی ناپایدارتر و سخت‌تر برای ردیابی بازآرایی کردند و زمینه‌ای برای یک اکوسیستم پراکنده و مبتنی بر AI فراهم آوردند که تا اواسط ۲۰۲۶ همچنان در حال تشدید است.

عملیات Cronos: کالبدشکافی یک اختلال بزرگ

در ۱۹ فوریه ۲۰۲۴، ائتلافی از ده کشور به رهبری آژانس جرایم ملی بریتانیا (NCA) و FBI آمریکا عملیات Cronos را علیه LockBit اجرا کردند؛ گروهی که دست‌کم از سال ۲۰۲۲ بر بازار Ransomware تسلط داشت. مقامات ۳۴ سرور را در چندین حوزه قضایی توقیف کردند، سایت نشت اطلاعات دارک وب LockBit را تعطیل کردند، ۱۴,۰۰۰ حساب غیرمجاز را بستند، ۲۰۰ کیف پول رمزارز را مسدود کردند و بیش از ۱,۰۰۰ کلید رمزگشایی به دست آوردند. دو نفر در لهستان و اوکراین دستگیر شدند. اتباع روس آرتور سونگاتوف و ایوان کوندراتیف (با نام مستعار «Bassterlord») در ایالات متحده کیفرخواست دریافت کردند.

بعد روانشناختی عملیات به اندازه بعد فنی آن اهمیت داشت. مقامات سایت نشت اطلاعات خود LockBit را برای افشای عملکرد داخلی گروه، انتشار هویت وابستگان و ارسال پیام‌های شخصی به اعضایی که وارد پنل کنترلی‌شان می‌شدند، بازطراحی کردند. رهبر ادعایی گروه، دیمیتری یوریویچ خوروشف (با نام مستعار «LockBitSupp»)، به صورت عمومی شناسایی شد و جایزه ۱۰ میلیون دلاری وزارت خارجه آمریکا برای دستگیری او تعیین شد. او سپس از فروم‌های اصلی جرایم سایبری مسدود شد و کانال‌های ارتباطی و جذب نیروی او قطع شدند.

این اختلال واقعی بود اما دائمی نشد. LockBitSupp ظرف چند روز مدعی شد سیستم‌ها را بازیابی کرده است. تا اواسط ۲۰۲۵، گروه با نام LockBit 4.0 بازآرایی کرد، رمزنگاری هیبریدی AES-256 + RSA-2048 را با ChaCha20-Poly1305 جایگزین کرد، یک مدل میزبانی توزیع‌شده اتخاذ کرد و برنامه وابستگان خود را اصلاح نمود. Check Point Research کمپین‌های اخاذی فعال LockBit 4.0 را در سپتامبر ۲۰۲۵ علیه سازمان‌هایی در محیط‌های Windows، Linux و ESXi در اروپا، آمریکا و آسیا تأیید کرد.

کلاهبرداری خروجی BlackCat: خیانتی ۲۲ میلیون دلاری

در حالی که نیروهای امنیتی موفقیت در LockBit را جشن می‌گرفتند، ALPHV/BlackCat یکی از گستاخانه‌ترین خیانت‌های تاریخ Ransomware را ترتیب داد. در فوریه ۲۰۲۴، یک وابسته BlackCat سیستم‌های Change Healthcare — زیرمجموعه UnitedHealth Group که سالانه ۱۵ میلیارد تراکنش بهداشتی پردازش می‌کند و به یک‌سوم پرونده‌های بیماران آمریکایی دسترسی دارد — را به خطر انداخت. بردار دسترسی اولیه یک درگاه دسترسی از راه دور Citrix بدون احراز هویت چندعاملی بود.

Change Healthcare نقض را در ۲۱ فوریه ۲۰۲۴ شناسایی کرد و سیستم‌هایش را خاموش کرد. مدیرعامل UnitedHealth Group، اندرو ویتی، بعداً تأیید کرد که شرکت ۲۲ میلیون دلار باج به صورت Bitcoin به BlackCat پرداخت کرده تا از انتشار داده‌های بیماران جلوگیری کند. این اقدام نتیجه نداد. یک وابسته ناراضی به صورت عمومی اپراتورهای BlackCat را متهم کرد که کل مبلغ را بدون پرداخت سهم توافق‌شده نگه داشته‌اند — و هنوز ۴ ترابایت داده دزدیده‌شده در اختیار دارند. وقتی BlackCat در مارس ۲۰۲۴ یک اطلاعیه جعلی توقیف توسط نیروهای امنیتی در سایت نشت اطلاعاتش منتشر کرد، پژوهشگرانی از جمله فابیان وزار، رئیس تحقیقات Ransomware در Emsisoft، به سرعت آن را ساختگی تشخیص دادند. DOJ، Europol و NCA همگی هرگونه دخالتی را رد کردند. BlackCat به وابستگان خود کلاهبرداری کرده و تعطیل شده بود.

خسارات جانبی عظیم بود. این حمله ثبت ادعا، تأیید صلاحیت، پردازش پرداخت و تراکنش‌های داروخانه‌ای را در سراسر کشور مختل کرد. انجمن بیمارستان‌های آمریکا آن را «بزرگ‌ترین و پیامدسازترین حادثه از این نوع در تاریخ سیستم بهداشتی آمریکا» توصیف کرد. UnitedHealth Group بیش از ۸۷۰ میلیون دلار خسارت تنها در سه‌ماهه اول ۲۰۲۴ گزارش داد و مجموع هزینه‌های واکنش بین ۲.۳ و ۲.۴۵ میلیارد دلار برآورد شد. داده‌های تقریباً ۱۹۰ میلیون نفر — بیش از نیمی از جمعیت آمریکا — به خطر افتاد. افزون بر این، RansomHub ادعا کرد که داده‌های Change Healthcare را نیز در اختیار دارد و باج دومی از UnitedHealth Group مطالبه کرد.

RansomHub: پرکننده خلأ

RansomHub در فوریه ۲۰۲۴ — همان ماه حمله به Change Healthcare — راه‌اندازی شد و این هم‌زمانی تصادفی نبود. پژوهشگران چندین شرکت آن را بازآرایی احتمالی یا مشتق از Ransomware نوع Knight (Cyclops) ارزیابی می‌کنند، یا اینکه اپراتورها کد منبع Knight را خریداری کرده‌اند. مدل کسب‌وکار آن به صراحت برای جذب وابستگانی طراحی شده بود که از اختلالات LockBit و BlackCat آسیب دیده بودند: وابستگان مستقیماً پرداخت‌های باج را مدیریت می‌کنند و تنها ۱۰ درصد کمیسیون به گروه مرکزی می‌پردازند، در مقایسه با ۲۰ تا ۳۰ درصد معمول پلتفرم‌های رقیب.

آمارهای رشد چشمگیرند. RansomHub در ۲۰۲۴ ادعای ۵۳۱ قربانی جدید کرد که ۹.۸ درصد از کل پرونده‌های ردیابی‌شده Ransomware در سطح جهانی را نشان می‌دهد و آن را به تنها مسلط‌ترین گروه سال تبدیل کرد. حجم حملاتش در نیمه دوم ۲۰۲۴ شصت و شش درصد افزایش یافت. تنها در سپتامبر ۲۰۲۴، RansomHub ۶۶ قربانی را در یک ماه فهرست کرد و ۱۶ درصد از تمام حملات Ransomware سه‌ماهه سوم را به خود اختصاص داد. اهداف شامل سیستم‌های آب و فاضلاب، تأسیسات دولتی، بهداشت، تولید حیاتی، خدمات مالی، حمل‌ونقل و زیرساخت ارتباطی می‌شد. از قربانیان برجسته می‌توان به Frontier Communications، خانه مزایده بریتانیایی Christie's و Halliburton اشاره کرد.

سلطه RansomHub کوتاه‌مدت بود. در ۳۱ مارس ۲۰۲۵، سایت پیاز آن از دسترس خارج شد و پورتال مشتریانش روز بعد آفلاین شد. Rapid7 توقف کامل عملیات را تا اوایل آوریل ۲۰۲۵ تأیید کرد و وابستگان به DragonForce و LockBit مهاجرت کردند. DragonForce سپس ادعا کرد که زیرساخت RansomHub را تصاحب کرده است.

فاز پراکندگی و تجمیع جدید

فروپاشی پی‌درپی LockBit، BlackCat و RansomHub یک بازار وابستگان آشفته ایجاد کرد. تعداد گروه‌های Ransomware به صورت عمومی افشاشده از ۷۹ در آوریل ۲۰۲۳ به ۹۶ تا آوریل ۲۰۲۵ رسید و در یک سال ۵۲ گروه جدید ظهور کردند. تا سال ۲۰۲۵، رکورد ۱۲۴ گروه نام‌گذاری‌شده متمایز در فضای واقعی مشاهده شده بود. گروه‌های کوچک‌تر سخت‌تر مختل می‌شوند: سریع بازآرایی می‌کنند، انتساب دشوار می‌شود و هیچ ضربه واحدی تأثیر بزرگی ندارد.

دو گروه به طور قاطع وارد خلأ قدرت شدند. Qilin (که با نام Agenda نیز ردیابی می‌شود)، که از سال ۲۰۲۲ با پلتفرم‌های چندگانه در Golang و Rust با هدف Windows، Linux و VMware ESXi فعال است، در ۲۰۲۵ رشد ۴۰۸ درصدی در حملات ثبت کرد و تا ژوئن ۲۰۲۵ به پیشروترین گروه Ransomware تبدیل شد. وابستگان ۸۰ تا ۸۵ درصد درآمد باج را دریافت می‌کنند. وابستگان برجسته شامل FIN12 و Scattered Spider (Octo Tempest) می‌شوند. پس از تعطیلی RansomHub در آوریل ۲۰۲۵، تعداد قابل توجهی از وابستگانش به Qilin مهاجرت کردند. این گروه حتی یک سرویس «خبرنگار» داخلی برای پست‌های وبلاگ سایت نشت اطلاعاتش معرفی کرد — که به طور گسترده ارزیابی می‌شود LLM تولید کرده — و یک عملکرد پشتیبانی وابستگان «Call Lawyer» نیز ارائه داد.

DragonForce، که از اوت ۲۰۲۳ فعال است و از طریق کد منبع لو رفته Conti v3 با LockBit Green پیوند دارد، در مارس ۲۰۲۵ با عنوان یک «کارتل» بازآرایی کرد. مدل آن به وابستگان اجازه می‌دهد زیر نام‌های تجاری خود فعالیت کنند در حالی که از زیرساخت، ابزار و پشتیبانی DragonForce بهره می‌برند. این گروه ۸۰ درصد درآمد را به وابستگان می‌پردازد و بیش از ۲۰۰ قربانی در بخش‌های خرده‌فروشی، هواپیمایی، بیمه و ارائه‌دهندگان خدمات مدیریت‌شده فهرست کرده است. با Scattered Spider همکاری می‌کند و برای اثبات سلطه، فعالانه به زیرساخت گروه‌های رقیب حمله می‌کند.

تا سه‌ماهه اول ۲۰۲۶، Check Point Research یک روند تجمیع در برابر پراکندگی مشاهده کرد: ۱۰ گروه برتر شروع به تصاحب سهم بیشتری از قربانیان ردیابی‌شده کردند و Qilin، Akira و LockBit 4.0/5.0 وابستگان آواره را در مقیاس بزرگ جذب کردند. کل حوادث Ransomware در سطح جهانی با نرخ فعلی پیش‌بینی می‌شود در ۲۰۲۶ از ۱۲,۰۰۰ مورد تجاوز کند.

درس‌هایی برای مدافعان

• MFA را بر هر درگاه دسترسی از راه دور، بدون استثنا، اجباری کنید. نقض Change Healthcare با یک نقطه پایانی Citrix بدون MFA آغاز شد. این شکست کنترل واحد بیش از ۲ میلیارد دلار برای UnitedHealth Group هزینه داشت و پرونده‌های ۱۹۰ میلیون بیمار را به خطر انداخت.
• فرض نکنید که تعطیلی یک گروه تهدید آن را از بین می‌برد. LockBit دو بار پس از اختلالات بزرگ بازسازی شد. وابستگان BlackCat و RansomHub ظرف چند هفته به پلتفرم‌های جدید منتقل شدند. اشتراک‌های اطلاعات تهدید باید مهاجرت وابستگان را ردیابی کنند، نه فقط گروه‌های نام‌دار را.
• یکپارچگی پشتیبان را به صورت مستمر تقسیم‌بندی و آزمایش کنید. RansomHub و Qilin هر دو به طور خاص میزبان‌های ESXi را هدف قرار می‌دهند تا پشتیبان‌های مجازی را نابود کنند. رویه‌های بازیابی ایمن و آزمایش‌شده همچنان تنها مؤثرترین راهکار کاهش Ransomware است.
• مراقب مدل کارتل باشید. سیستم برندسازی وابستگان DragonForce به این معناست که حملات منتسب به نام‌های ناشناس ممکن است زیرساخت، ابزار و تاکتیک‌های مشترکی با اپراتورهای مستندشده داشته باشند. نام‌های ناآشنای Ransomware را تا زمانی که خلاف آن اثبات نشده، به عنوان احتمالاً وابسته به کارتل در نظر بگیرید.
• ریسک تمرکز اشخاص ثالث اکنون یک موضوع در سطح هیأت مدیره است. نقش Change Healthcare در پردازش یک‌سوم پرونده‌های بیماران آمریکایی یک عفونت واحد Ransomware را به یک بحران بهداشت ملی تبدیل کرد. نقشه‌برداری زنجیره تأمین و الزامات تاب‌آوری فروشنده برای بخش‌های زیرساخت حیاتی دیگر اختیاری نیستند.