تُعد تسريبات البلاكباستا نقطة تحول هامة في الكشف عن شبكات الجريمة السيبرانية المعقدة، حيث كشفت عن البنية التحتية الخفية التي تدعم عمليات برامج الفدية. هذه التسريبات، التي خرجت من داخل منظومة مجرمة، كشفت عن أسماء حقيقية وتفاصيل تشغيلية حرجة.
في فبراير 2025، ظهر شخص باسم “ExploitWhispers” عبر منصة تلغرام، مطلقاً العنان لمحادثات داخلية خاصة بمجموعة برامج الفدية BlackBasta. حمل هذا التسريب الأول ملفاً بصيغة JSON يحتوي على حوالي 200 ألف رسالة، تغطي فترة زمنية تمتد لأكثر من عام، من سبتمبر 2023 إلى سبتمبر 2024.
من بين المعلومات المكشوفة، برزت هويات حقيقية، أبرزها هوية كيريل زاتولوكين، المعروف في المنتديات المظلمة باسم “Slim Shady”. مثلت هذه الفضيحة بداية لسلسلة من الأحداث التي أدت إلى تفكيك شبكة إجرامية كاملة.
تلاه تسريب آخر في مارس 2025، حيث قام جهة مجهولة بنشر قاعدة بيانات مرتبطة بشركة “ميديا لاند” (Media Land)، وهي شركة روسية تبدو مشروعة ظاهرياً. كشفت قاعدة البيانات هذه عن إعدادات الخوادم، سجلات شراء العملاء، معلومات حساب المستخدمين، وعناوين محافظ العملات المشفرة.
الكشف عن الواجهة الشرعية لـ Yalishanda
أثار وجود شركة “ميديا لاند” المتورطة في عمليات برامج الفدية تساؤلات حول طبيعة علاقتها بهذه الأنشطة الإجرامية. تبين أن “ميديا لاند” هي في الواقع واجهة لشركة “يالشندا” (Yalishanda)، وهي مزود خدمة استضافة “حصينة” (bulletproof hosting) تعمل منذ أواخر عام 2009، وتعد عموداً فقرياً للعديد من الأنشطة الإجرامية السيبرانية.
نجح المحللون في ربط هاتين التسربتين، موقعين بين BlackBasta والبنية التحتية التي كانت تدعمها. تعمل الجريمة السيبرانية الروسية في نظام بيئي متعدد الطبقات، حيث تعتمد مجموعات برامج الفدية على خدمات الحماية وشركات التستر ومزودي البنية التحتية الذين غالباً ما يتنكرون في شكل كيانات قانونية.
قدمت yalishanda، تحت غطاء “ميديا لاند” الشرعي، خدمات الاستضافة والدعم الفني التي مكنت BlackBasta من تنفيذ هجماتها دون عوائق. مثلت هذه العلاقة سلسلة توريد إجرامية محترفة، حيث لعب كل مكون دوراً متخصصاً.
أدت هذه التسريبات إلى اتخاذ إجراءات تنظيمية سريعة. في 19 نوفمبر 2025، فرضت وزارة الخزانة الأمريكية، بالتعاون مع السلطات في أستراليا والمملكة المتحدة، عقوبات على “ميديا لاند” وشركتها التابعة “Data Center Kirishi”.
واجه اثنان من الأفراد عواقب مباشرة: ألكسندر فولوسوفيك، مدير الشركة المعروف في الأوساط الإجرامية باسم “يالشندا”، وكيريل زاتولوكين، الذي لعب دوراً عملياً في دعم عمليات BlackBasta. قام فولوسوفيك بتسويق البنية التحتية لمجرمي التهديدات، بينما تولى زاتولوكين دعم العملاء والتنسيق الفني تحت اسمه المستعار “Slim Shady”.
دور الاستضافة الحصينة في عمليات برامج الفدية
تزدهر شركات الاستضافة الحصينة مثل yalishanda بوعد واحد: تجاهل شكاوى الإساءة. بالنسبة لمشغلي برامج الفدية، يوفر هذا ملاذاً آمناً يمكن من خلاله تشغيل خوادم التحكم والقيادة، بنية تحتية لاستخراج البيانات، وبوابات الدفع دون انقطاع.
قدمت yalishanda حزمة خدمات شاملة تضمنت استضافة الخوادم، تسجيل النطاقات، الدعم الفني، والأهم من ذلك، الحماية من طلبات الإغلاق. كشفت محادثات BlackBasta المسربة أن المجموعة كانت تدير حوالي 200 خادم عبر بنية “ميديا لاند” التحتية، وتستهلك ما بين 17 إلى 20 جيجابت في الثانية من النطاق الترددي، مع خطط للتوسع إلى 50 جيجابت في الثانية.
عمل زاتولوكين كنقطة اتصال فنية رئيسية بين BlackBasta و “ميديا لاند”، حيث قام بتنسيق احتياجات البنية التحتية عبر حسابه على تلغرام. أظهرت الرسائل من الدردشات المسربة تقديمه لنتائج اختبار السرعة، حسابات النطاق الترددي، وتوصيات الترقية.
في أحد التبادلات، وصف زاتولوكين خدمات “ميديا لاند” بأنها تأتي من “مركز بيانات خاص” بدلاً من الشبكات المستأجرة، مما يؤكد المعاملة المميزة التي تلقتها BlackBasta. يوضح هذا المستوى من دعم البنية التحتية المخصص كيف تعتمد مجموعات برامج الفدية الحديثة على مزودي الخدمات المحترفين بدلاً من إدارة عملياتهم التقنية الخاصة، مما يسمح لهم بالتركيز على استهداف الضحايا والتشفير مع الاستعانة بمصادر خارجية لتعقيدات الحفاظ على بنية تحتية مرنة ومقاومة للإساءة.