قام مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية بتصنيف شخصين ومزود خدمة VPN لتمكين الأنشطة الخبيثة لممثلي برامج الفدية وغيرهم من مجرمي الإنترنت، بما في ذلك هجمات برامج الفدية ضد الأمريكيين.
VPN، اسمه خدمة VPN الأولى (1VPNS)، اتُهمت بتقديم أدواتها لمجموعات برامج الفدية، إلى جانب مديرها الأوكراني دميترو راشيفسكي، البالغ من العمر 45 عامًا. فرضت الوزارة أيضًا عقوبات على ييجيني فلاديميروفيتش سيلاييف، وهو مواطن بيلاروسي، لبيعه برامج تشفير للمساعدة في إخفاء برامج الفدية وغيرها من البرامج الضارة كبرامج آمنة لتجنب اكتشافها بواسطة أدوات الأمان.
تم تفكيك First VPN في مايو 2026 كجزء من عملية مشتركة لإنفاذ القانون من قبل السلطات الأوروبية وأمريكا الشمالية لمساعدة الجهات الإجرامية على إخفاء أصول هجمات برامج الفدية وسرقة البيانات والمسح الضوئي وهجمات رفض الخدمة. تم تشغيل الخدمة منذ عام 2014، معلنة أنها لا تحتفظ بسجل لهويات المستخدمين أو أنشطتهم ولا تتعاون مع سلطات إنفاذ القانون لمعالجة الأنشطة غير القانونية الناشئة عن الخوادم التي تؤجرها للعملاء.
وفقًا لوزارة الخزانة، يقال إن العديد من مجموعات برامج الفدية قد اشترت First VPN لتنفيذ هجمات على الشركات والمؤسسات الأمريكية وإخفاء أصولها الحقيقية، ونشر البرامج الضارة، وإدارة البيانات المسربة. وكان من بين ضحايا هجمات برامج الفدية التي شملت البنية التحتية للشبكة الافتراضية الخاصة (VPN) الشركات الأمريكية وشركات الخدمات المالية والمستشفيات والحكومات البلدية.
وقال مسؤولون أمريكيون إن مجموعات برامج الفدية التي تستخدم الخدمات التي تقدمها الأطراف المعينة تسببت في خسائر بمليارات الدولارات للشركات الأمريكية ومقدمي البنية التحتية الحيوية.
وقالت الوزارة: “استخدم راشيفسكي هويات مزيفة، بما في ذلك “مكسيم سورين” و”رومان شابانينكو”، لشراء البنية التحتية من الشركات التي قد ترفض التعامل معه بسبب شكاوى من إساءة الاستخدام من مزودي خدمات الإنترنت بشأن نشاط غير قانوني ينشأ من خوادم 1VPNS”.
المملكة المتحدة والاتحاد الأوروبي يفرضان عقوبات على الأفراد والكيانات الروسية
ويتزامن هذا الكشف مع فرض المملكة المتحدة والاتحاد الأوروبي عقوبات على الشبكات الإلكترونية الروسية بسبب “محاولاتها المستمرة والمتهورة على نحو متزايد لزرع الفوضى والانقسام في جميع أنحاء أوروبا”. وتستهدف العقوبات 24 فردًا وكيانًا يقفون وراء عمليات إلكترونية وهجينة مدمرة، بما في ذلك المشغلون المشاركون في شبكات الوكيل المرتبطة بأجهزة المخابرات الروسية (RIS).
ويشمل ذلك كبار أعضاء القيادة في مديرية المخابرات الرئيسية الروسية (GRU) فياتشيسلاف ستافييف، وإيفان سينين، وإيفان كاسيانينكو لدورهم في توجيه عمليات التهديد السيبراني والهجين لـ GRU. بالترادف، نُسب المركز 16 التابع لجهاز الأمن الفيدرالي (FSB) إلى عمليات التخريب التخريبية ضد شبكة الطاقة البولندية في أواخر العام الماضي.
وقالت حكومة المملكة المتحدة: “عمل قسم الإنترنت GRU Unit 29155 مع مجرمي الإنترنت، بما في ذلك شركة IMPULS، لتجنيد قراصنة ومتخصصين في مجال الإنترنت من الجامعات والأكاديميات في جميع أنحاء روسيا”.
تستهدف العقوبات أيضًا الأفراد الذين يقفون وراء Lumma Stealer لتمكين مجرمي الإنترنت من جمع معلومات حساسة من الأجهزة المخترقة على نطاق واسع. ويقال إن روسيا استخدمت أوراق اعتماد السارق المسروقة لإجراء عمليات تجسس إلكتروني ضد أهداف على مستوى العالم لدعم أهداف الكرملين.
وقال الاتحاد الأوروبي: “إن مجرمين إلكترونيين ومن نصبوا أنفسهم نشطاء قرصنة وشركات خاصة مرتبطة بروسيا، بما في ذلك الجهات الفاعلة التي تعمل بموجب تعليماتها أو توجيهها أو سيطرتها، نفذوا أيضًا ومكنوا وسهلوا مجموعة واسعة من الأنشطة الضارة”.
“إننا ندين بشدة سلوك روسيا وإساءة استخدامها لهذا النظام البيئي السيبراني، الذي يستهدف الخدمات العامة والبنية التحتية الحيوية، مما يتسبب في اضطرابات وخسائر مالية. ومن خلال الكشف عن سلوك روسيا الخبيث وفرض تكاليف على المسؤولين عن مثل هذه الأنشطة، يؤكد الاتحاد الأوروبي تصميمه على دعم المساءلة في الفضاء السيبراني”.
الاستهداف الذي ترعاه الدولة الروسية يلاحق أجهزة التوجيه
تأتي العقوبات أيضًا على خلفية استشارة جديدة أصدرها مكتب التحقيقات الفيدرالي الأمريكي (FBI) حول استغلال الجهات الفاعلة السيبرانية في مركز FSB 16 لأجهزة الشبكات الضعيفة والضعيفة في جميع أنحاء العالم لاختراق شبكات قطاع البنية التحتية الحيوية المتعددة بشكل انتهازي.
وقالت الوكالة: “إن الجهات الفاعلة السيبرانية في مركز FSB الروسي 16 تستخدم في المقام الأول المسح لتحديد أجهزة الشبكات ذات التكوين السيئ، وخاصة أجهزة التوجيه، للاستغلال”. “يبحث الممثلون عن نطاقات IP للإنترنت باستخدام وكلاء بروتوكول إدارة الشبكة البسيطة (SNMP) النشطين الذين يقبلون سلاسل المجتمع الشائعة أو الافتراضية للمصادقة.”

تتكون عمليات الفحص هذه، التي يتم إجراؤها عبر الوكلاء، من طلبات مجموعة SNMP من عنوان IP مزيف يحتوي على معرفات الكائنات (OIDs) التي توجه وكيل SNMP على أجهزة الشبكة التي تم تكوينها بشكل سيئ لنسخ التكوين الخاص به إلى ملف ونقله إلى خادم ظاهري خاص يتحكم فيه المهاجم (VPS) أو خادم FTP مخترق.
يتضمن النشاط أيضًا إساءة استخدام نقاط الضعف والتعرضات الشائعة (CVEs) في أجهزة Cisco، مثل CVE-2018-0171 وCVE-2008-4128، كوسيلة لاكتشاف واستغلال أجهزة الشبكات ذات التكوين السيئ. أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) منذ ذلك الحين CVE-2008-4128 إلى كتالوج الثغرات الأمنية المعروفة (KEV)، مما يتطلب من الوكالات الفيدرالية تطبيق الإصلاحات بحلول 16 يوليو 2026.
