قراصنة يستهدفون مرافق الرعاية الصحية الحرجة ببرامج الفدية أثناء جائحة فيروس كورونا

بينما تكافح المستشفيات في جميع أنحاء العالم للاستجابة لأزمة الفيروسات التاجية ، فإن المجرمين الإلكترونيين – بدون ضمير وتعاطف – يستهدفون باستمرار مؤسسات الرعاية الصحية ومرافق الأبحاث والمنظمات الحكومية الأخرى التي تحتوي على برامج الفدية وسرقة المعلومات الضارة.

وأكد البحث الجديد ، الذي نشرته بالو ألتو نتوركس وشاركه مع صحيفة هاكر نيوز ، أن "الجهات المهتمة التي تستفيد من الجرائم السيبرانية ستذهب إلى أي حد ، بما في ذلك استهداف المنظمات الموجودة في الخطوط الأمامية والرد على الوباء على أساس يومي. ".

وبينما لم تذكر شركة الأمن أسماء الضحايا الجدد ، قالت إن منظمة رعاية صحية حكومية كندية وجامعة أبحاث طبية كندية تعرضت لهجمات برامج الفدية ، حيث تسعى الجماعات الإجرامية إلى استغلال الأزمة لتحقيق مكاسب مالية.

تم الكشف عن الهجمات بين 24 مارس و 26 مارس ، وبدأت كجزء من حملات التصيد التي تتمحور حول الفيروسات التاجية التي انتشرت على نطاق واسع في الأشهر الأخيرة.

الكشف عن بالو ألتو نتوورك يأتي مع الولايات المتحدة تعرضت وزارة الصحة والخدمات الإنسانية (HHS) ، وشركة التكنولوجيا الحيوية 10x Genomics ، ومستشفى برنو الجامعي في جمهورية التشيك ، وبحوث أدوية هامرسميث لهجمات إلكترونية في الأسابيع القليلة الماضية.

تسليم برنامج الفدية عن طريق استغلال CVE-2012-0158

وفقًا للباحثين ، بدأت الحملة برسائل بريد إلكتروني ضارة مرسلة من عنوان مخادع يحاكي منظمة الصحة العالمية (noreply @ who (.) Int) التي تم إرسالها إلى عدد من الأفراد المرتبطين بمنظمة الرعاية الصحية التي تشارك بنشاط في COVID-19 جهود الاستجابة.

احتوت إغراءات البريد الإلكتروني على مستند بتنسيق نص منسق (RTF) باسم "20200323-sitrep-63-covid-19.doc، "والتي حاولت ، عند فتحها ، تقديم EDA2 Ransomware عن طريق استغلال ثغرة أمنية معروفة في تجاوز سعة المخزن المؤقت (CVE-2012-0158) في عناصر تحكم ListView / TreeView ActiveX الخاصة بـ Microsoft في مكتبة MSCOMCTL.OCX.

ولاحظ باحثو Palo Alto Networks أنه "من المثير للاهتمام ملاحظة أنه على الرغم من أن اسم الملف يشير بوضوح إلى تاريخ محدد (23 مارس 2020) ، إلا أنه لم يتم تحديث اسم الملف على مدار الحملة لتعكس التواريخ الحالية".

"من المثير للاهتمام أيضًا أن مؤلفي البرمجيات الخبيثة لم يحاولوا جعل إغراءهم يبدو مشروعًا بأي شكل من الأشكال ؛ فمن الواضح من الصفحة الأولى من الوثيقة أن هناك شيئًا خاطئًا."

عند التنفيذ ، يتصل ثنائي برنامج الفدية بخادم الأوامر والتحكم (C2) لتنزيل صورة تعمل كإشعار إصابة بفيروس الفدية الرئيسي على جهاز الضحية ، وبعد ذلك تنقل تفاصيل المضيف لإنشاء مفتاح مخصص لتشفير الملفات على سطح مكتب النظام بامتداد "locked20".

بصرف النظر عن استلام المفتاح ، يستخدم المضيف المصاب طلب HTTP Post لإرسال مفتاح فك التشفير ، المشفر باستخدام AES ، إلى خادم C2.

تأكدت Palo Alto Networks من أن سلالة الفدية كانت EDA2 استنادًا إلى بنية التعليمات البرمجية للسلوكيات الثنائية والمستندة إلى المضيف والمستندة إلى الشبكة لبرنامج الفدية. تعتبر EDA2 و Hidden Tear واحدة من أول برامج الفدية مفتوحة المصدر التي تم إنشاؤها لأغراض تعليمية ولكن تم إساءة استخدامها من قبل المتسللين لمتابعة مصالحهم الخاصة.

ارتفاع في حوادث الفدية

إن هجمات برامج الفدية هي نتيجة لزيادة في الهجمات الإلكترونية الأخرى المرتبطة بالوباء. لقد أدرجوا مجموعة من رسائل البريد الإلكتروني الاحتيالية التي تحاول استخدام الأزمة لإقناع الأشخاص بالنقر فوق الارتباطات التي تقوم بتنزيل البرامج الضارة أو برامج الفدية على أجهزة الكمبيوتر الخاصة بهم.

علاوة على ذلك ، لاحظ تقرير التصيد الاحتيالي للعلامة التجارية لشركة Check Point Research للربع الأول من عام 2020 قفزة في التصيد الاحتيالي عبر الهاتف المحمول نظرًا لأن الأشخاص يقضون المزيد من الوقت على هواتفهم للحصول على معلومات تتعلق بالفاشية وللعمل. تم العثور على المهاجمين تقليد الخدمات الشعبية مثل Netflix و Airbnb و Chase Bank لسرقة بيانات اعتماد تسجيل الدخول.

مع وجود قيود الوقت والضغط في المستشفيات بسبب الوباء المستمر ، يعتمد المتسللون على المنظمات لدفع الفدية لاستعادة الوصول إلى الأنظمة الحيوية ومنع اضطراب رعاية المرضى.

وجد تقرير نشره RisKIQ الأسبوع الماضي أن هجمات برامج الفدية على المرافق الطبية ارتفعت بنسبة 35٪ بين عامي 2016 و 2019 ، حيث بلغ متوسط ​​طلب الفدية 59000 دولار عبر 127 حادثًا. ذكرت شركة الأمن السيبراني أن المتسللين فضلوا أيضًا المستشفيات الصغيرة ومراكز الرعاية الصحية لأسباب تتراوح من الدعم الأمني ​​الهزيل إلى زيادة احتمال الالتفات إلى طلبات الفدية.

دفعت الزيادة الكبيرة في هجمات برامج الفدية ضد القطاع الطبي الإنتربول إلى إصدار تحذير بشأن التهديد للدول الأعضاء.

وقالت الوكالة: "يستخدم مجرمو الإنترنت برامج الفدية لإبقاء المستشفيات والخدمات الطبية رهائن رقميًا ، مما يمنعهم من الوصول إلى الملفات والأنظمة الحيوية حتى يتم دفع الفدية".

ولحماية الأنظمة من مثل هذه الهجمات ، حذر الإنتربول المؤسسات من مراقبة محاولات التصيد ، وتشفير البيانات الحساسة ، وإجراء نسخ احتياطي دوري للبيانات ، إلى جانب تخزينها في وضع عدم الاتصال أو على شبكة مختلفة لإحباط المجرمين الإلكترونيين.