أعلنت وزارة العدل الأميركية أن المواطن الروسي إيليا أنجيلوف، البالغ من العمر 40 عاماً والمقيم في مدينة تولياتي الروسية، قد حُكم عليه بالسجن لمدة عامين إضافة إلى غرامة مالية قدرها 100 ألف دولار، بعد إدانته بإدارة شبكة من الحواسيب المخترقة (بوتنت) استُخدمت في تنفيذ هجمات فدية ضد شركات أميركية. أنجيلوف، المعروف بأسماء مستعارة مثل “milan” و”okart”، كان أحد المدراء المشاركين في مجموعة إجرامية سيبرانية تُعرف باسم TA551، والتي حملت أسماء متعددة مثل Gold Cabin وMonster Libra وUNC2420، ونشطت بين عامي 2017 و2021.
أسلوب الهجمات وآليات الاختراق
اعتمدت المجموعة على نشر ملفات خبيثة مرفقة برسائل بريد إلكتروني عشوائية (سبام)، ما أدى إلى إصابة آلاف الأجهزة ببرمجيات ضارة. بعد ذلك، كان أنجيلوف وشركاؤه يبيعون الوصول إلى هذه الأجهزة المخترقة لمجموعات إجرامية أخرى. وفقاً لمذكرة الحكم، طوّر أفراد المجموعة أدوات متقدمة لتوزيع البريد المزعج وتجاوز أنظمة الحماية، كما أشرفوا على تجنيد أعضاء جدد وإدارة العمليات التقنية. ومن أبرز أدواتهم باب خلفي يسمح بتحميل برمجيات خبيثة إضافية على أجهزة الضحايا.
شراكات مع مجموعات فدية أخرى
بين أغسطس 2018 وديسمبر 2019، وفرت مجموعة TA551 وصولاً إلى شبكتها لمجموعة BitPaymer، ما مكّن الأخيرة من إصابة 72 شركة أميركية، ونتج عن ذلك دفع أكثر من 14 مليون دولار كأموال ابتزاز. كما حصل مشغلو برمجية IcedID على وصول للشبكة مقابل أكثر من مليون دولار في أواخر 2019، واستخدموا هذا الوصول لنشر هجمات فدية جديدة. لاحقاً، كشفت تقارير أمنية أن المجموعة تعاونت مع مشغلي برمجية TrickBot لنشر فدية Conti، وكذلك مع مجموعة Lockean بعد تفكيك شبكة Emotet في مطلع 2021.
تقارير أمنية وتحقيقات دولية
أشارت تقارير شركة Mandiant في فبراير 2021 إلى أن رسائل التصيّد كانت تحتوي على ملفات مضغوطة محمية بكلمة مرور، تُخدع الضحايا لفتحها عبر مستندات وورد مفعّلة بالماكرو. هذه المستندات كانت تُطلق برمجية MOUSEISLAND التي تعمل كمنزّل أولي، قبل أن تُحمّل برمجية PHOTOLOADER التي تُثبت لاحقاً IcedID. وفي نوفمبر 2021، أكدت شركة Cybereason أن TA551 دخلت في شراكة مع TrickBot لنشر فدية Conti، بينما كشفت وكالة الاستجابة الطارئة الفرنسية CERT-FR أن مجموعة Lockean استفادت من خدمات التوزيع التي تقدمها TA551.
تصريحات رسمية وتطورات موازية
قال المدعي العام الأميركي جيروم إف. غوردون جونيور إن “المجرمين الأجانب مثل هذا المتهم يستهدفون المواطنين والشركات الأميركية، وتزداد أساليبهم تعقيداً، لكن هدفهم يبقى واحداً: سرقة أموالنا وإلحاق الضرر بنا”. ويأتي هذا الحكم بعد يوم واحد فقط من إعلان وزارة العدل عن إدانة روسي آخر يُدعى أليكسي أوليغوفيتش فولكوف، البالغ من العمر 26 عاماً، بالسجن نحو سبع سنوات بعد اعترافه بالعمل كوسيط وصول أولي لهجمات فدية Yanluowang التي استهدفت ثماني شركات أميركية بين يوليو 2021 ونوفمبر 2022.
