جایزه ۵۰ هزار دلاری منتسب به باج‌افزار Qilin جعلی اعلام شد

یوروپل تأیید کرد که یک کانال Telegram با جعل هویت این سازمان و انتشار ادعای پرداخت ۵۰,۰۰۰ دلار جایزه برای ارائه اطلاعات درباره دو مدیر باج‌افزار Qilin جعلی است. فرد ایجادکننده این کانال بعدها اذعان کرد که هدف آن «شوخی با پژوهشگران و روزنامه‌نگاران» بوده است.

یوروپل در گفت‌وگو با BleepingComputer اعلام کرد:
«ما نیز از بازتاب گسترده این موضوع شگفت‌زده شدیم. این اعلان از سوی ما منتشر نشده است.»

این بیانیه پس از آن منتشر شد که یک کانال جدید در Telegram با نام کاربری @europolcti در تاریخ ۱۶ آگوست ایجاد شد و مدعی شد برای ارائه اطلاعات درباره دو مدیر باج‌افزار Qilin با نام‌های مستعار Haise و XORacle جایزه‌ای معادل ۵۰,۰۰۰ دلار پرداخت خواهد کرد.

در پست منتشرشده توسط این کانال جعلی آمده بود:
«در جریان تحقیقات بین‌المللی، تأیید کرده‌ایم که گروه سایبری Qilin حملات باج‌افزاری در سراسر جهان انجام داده و موجب اختلال جدی در زیرساخت‌های حیاتی و خسارات مالی سنگین شده است.»

این پست همچنین ادعا کرده بود که دو مدیر اصلی با نام‌های مستعار Haise و XORacle شناسایی شده‌اند که مسئولیت هماهنگی باج‌گیران و مدیریت فعالیت‌های اخاذی را بر عهده دارند.
در ادامه این پیام آمده بود:
«جایزه‌ای تا سقف ۵۰,۰۰۰ دلار برای اطلاعاتی که مستقیماً منجر به شناسایی یا یافتن این مدیران شود، در نظر گرفته شده است.»

گزارش‌ها حاکی از آن است که Haise یکی از اپراتورهای گروه باج‌افزاری Qilin است که پیش‌تر اقدام به جذب همکاران در انجمن جرایم سایبری RAMP کرده بود.

عملیات باج‌افزاری Qilin در ابتدا با نام “Agenda” در آگوست ۲۰۲۲ آغاز شد. با این حال، در سپتامبر همان سال این عملیات تحت برند جدید Qilin بازشناسی شد و تاکنون نیز با همین نام فعالیت می‌کند.

این عملیات باج‌افزاری یکی از فعال‌ترین‌ها محسوب می‌شود و در حال حاضر شرکت‌ها در سراسر جهان را هدف قرار می‌دهد.

با این حال، پس از آن‌که Europol تأیید کرد که ادعاهای مطرح‌شده جعلی بوده است، پستی جدید در کانال جعلی منتشر شد که در آن عنوان گردید این کانال صرفاً برای تمسخر محققان و خبرنگارانی ایجاد شده که درباره این ادعاها مقالاتی منتشر کرده بودند.

در این پست آمده است:
«اجرای این کار و فریب دادن به‌اصطلاح Researchers و Journalists که صرفاً مطالب را کپی می‌کنند، بسیار آسان بود. از همه شما سپاسگزارم!»

این پست توسط Rey امضا شده است؛ هکری که پیش‌تر با نفوذ به Telefonica و Orange Group مرتبط دانسته شده بود.

از تاریخ ۱۵ آگوست، تهدیدکنندگان در پست‌هایی در یک کانال Telegram که توسط افرادی با ادعای عضویت در گروه‌های “Scattered Spider”، “ShinyHunters” و “Lapsus” ایجاد شده بود، شروع به تمسخر Qilin کرده و فردی در این میان به‌طور مستقیم Haise و عملیات باج‌افزاری این گروه را هدف قرار داد.

این نخستین‌بار نیست که تهدیدکنندگان تلاش می‌کنند رسانه‌ها را در زمینه جرایم سایبری گمراه کنند.

در سال ۲۰۲۱، یکی از مدیران انجمن RAMP با نام مستعار ‘Orange’ یا ‘boriselcin’ که سایت باج‌افزاری “Groove” را اداره می‌کرد، از دیگر تهدیدکنندگان خواست تا به ایالات متحده آمریکا حمله کنند. این فرد بعداً به دلیل مشارکت در سه عملیات باج‌افزاری که قربانیان متعددی در سراسر ایالات متحده را هدف قرار داده بود، توسط دولت آمریکا تحریم شد.

پس از آن‌که رسانه‌هایی از جمله BleepingComputer این موضوع را پوشش دادند، این تهدیدکننده ادعا کرد که کل ماجرا جعلی بوده و صرفاً برای فریب و دستکاری رسانه‌ها و محققان امنیتی ایجاد شده است.

با این حال، پژوهشگران امنیتی در McAfee و Intel 471 معتقدند این اقدام احتمالاً تلاشی از سوی این تهدیدکننده برای پوشاندن شکست یک پروژه ransomware-as-a-service (RaaS) بوده است.

در سال ۲۰۲۳، BleepingComputer یک «گزارش محرمانه» درباره دستگیری ادعایی دو نوجوان کانادایی در ارتباط با یک حمله سرقت cryptocurrency دریافت کرد.

هرچند BleepingComputer متوجه شد که این خبر جعلی است و آن را منتشر نکرد، اما گزارش شد که این اقدام با هدف دستکاری رسانه‌ها و «تمسخر» افرادی که به این سرقت متهم شده بودند انجام شده است.