بلاگ

حملات گسترده باجگیران اینترنتی به بیمارستان‌ها

۱ اسفند ۱۳۹۹
امنیت دیجیتال با احمد باطبی
خواندن در ۶ دقیقه
این روزها که انواع جهش‌یافته ویروس کرونا رو به گسترش است، بسیاری از بیمارستان‌ها و مراکز بهداشتی با پدیده باج‌افزارها و باج‌گیری‌های اینترنتی نیز دست و پنجه نرم کنند.
این روزها که انواع جهش‌یافته ویروس کرونا رو به گسترش است، بسیاری از بیمارستان‌ها و مراکز بهداشتی با پدیده باج‌افزارها و باج‌گیری‌های اینترنتی نیز دست و پنجه نرم کنند.
در تازه‌ترین مورد از حملات باج‌افزاری تبهکاران اینترنتی، چندین بیمارستان مهم در شهرهای مختلف فرانسه در دام باج‌گیران افتاده و عملکرد عادی آن‌ها با مشکلات جدی مواجه شده است.
در تازه‌ترین مورد از حملات باج‌افزاری تبهکاران اینترنتی، چندین بیمارستان مهم در شهرهای مختلف فرانسه در دام باج‌گیران افتاده و عملکرد عادی آن‌ها با مشکلات جدی مواجه شده است.

احمد باطبی

این روزها که انواع جهش‌یافته ویروس کرونا رو به گسترش است، بسیاری از بیمارستان‌ها و مراکز بهداشتی در نقاط مختلف جهان علاوه بر جنگ در خط مقدم مبارزه با ویروس سمج کرونا، با پدیده باج‌افزارها و باج‌گیری‌های اینترنتی نیز دست و پنجه نرم می‌کنند.

در تازه‌ترین مورد از حملات باج‌افزاری تبه‌کاران اینترنتی، چندین بیمارستان مهم در شهرهای مختلف فرانسه در دام باج‌گیران افتاده‌اند و عملکرد عادی آن‌ها با مشکلات جدی مواجه شده است.

مجموعه بیمارستانی «ویلفرانش سورسون» (Villefranche-sur-Saône) در بخش اداری شهر «لیون» فرانسه ساعت چهار و ۳۰ دقیقه روز دوشنبه پانزدهم فوریه ۲۰۲۱ به یک باج‌افزار خطرناک به نام «ریوک» (RYUK) آلوده شد. اگرچه تیم فنی این مجموعه بیمارستانی با استفاده از نسخه‌های پشتیبانی، مانع فراگیری بیش ‌از پیش آلودگی شده و حمله این باج‌افزار را خنثی کردند اما بخش مدیریت جراحی با اخلال مواجه شدند و کارکنان این مجموعه به ناچار بیماران اورژانسی و نیازمند جراحی را به دیگر بیمارستان‌ها انتقال دادند. این بیمارستان در بیانیه‌ای اعلام کرده که این حمله باج‌افزاری اخیر عملکرد وب‌سایت مراکز درمانی «the Villefranche»، «Tarare» و «Trévoux» در بخش شمال غربی این مجموعه را با مشکل مواجه کرده است.

تیم فنی و خدماتی این بیمارستان‌ها اقدامات محدودی را برای تبادل اطلاعات و خدمت‌رسانی به بیماران انجام داد تا بحران ناشی از این حملات را کنترل کند. این اقدامات درحالی انجام شدند که این مراکز درمانی هم می‌بایست از نوزادان تازه متولد شده مراقب کنند وهم برنامه واکسیناسیون شهروندان علیه ویروس کرونا را به پیش ببرند. 

کمتر از یک هفته پیش نیز بیمارستانی در شهر «داکس» در جنوب غربی فرانسه توسط باج‌افزار آلوده شد و به سختی خدمات درمانی خود را به حالت اول بازگرداند. در یک سال گذشته نیز بیمارستان‌هایی در شهرهای پاریس، «روئن»، «مونپلیه»، «ایسودون»، «آلبرت‌ویل»، «موتیرز»، «تولون» و «ناربون» هدف حملاتی مشابه قرار گرفته بودند.

«آژانس ملی امنیت سیستم‌های اطلاعاتی فرانسه» (ANSSI) که در مراحل تحقیق در خصوص این حملات مشارکت دارد، اعلام کرده است در بررسی این حمله‌ها و چند حمله دیگر به سازمان‌های مختلف، رد پایی از هکرهای روسی به چشم می‌خورد.

باج‌افزار ریوک ازجمله بدافزارهای شناخته شده با سطح خطر بالا محسوب می‌شود که پس از نفوذ به شبکه، از طریق رمزنگاری اطلاعات قربانی، سیستم ‌آن‌ها را آلوده و از کنترل‌شان خارج می‌کند.

این که دقیقا چه کسی گرداننده باج‌افزار «RYK ransomware» است، مشخص نیست. برخی بررسی‌ها نشان از وابستگی این باج‌افزار به کشور ژاپن دارند. اما به دلیل این که معمولا بد‌افزار‌ها پس از طراحی، بارها توسط هکرها و برنامه‌نویسان مختلف در سراسر دنیا بازنوسی شده و توسعه پیدا می‌کنند، نمی‌توان گفت که گردانندگان کنونی آن ژاپنی هستند.

بررسی‌های شرکت امنیتی «چک پوینت» (Check Point) نشان می‌دهند که این باج‌افزار شباهت زیادی به باج‌افزار «Hermes» دارد؛ تاجایی که به اعتقاد برخی کارشناسان، RYK ransomware نسخه توسعه یافته باج‌افزار Hermes است. شباهت عملکرد و ساختار کد‌نویسی این دو باج‌افزار حتی تا نسخه‌های جدید RYK ransomware نیز حفظ شده است.
پیش‌تر، شواهدی در خصوص ارتباط باج‌افزار Hermes با یکی از گروه‌های هکری کره شمالی به‌نام «گروه لازاروس» (Lazarus Group) به دست آمده بود. این گروه هکری ازجمله گروه‌های تهدید مستمر «APT» به شمار می‌آید.

جدا از این موضوع، باج‌افزار Hermes در بسته باج‌افزاری «هرمس» نیز وجود دارد.  بسته باج‌افزاری هرمس، مجموعه‌ای از امکانات باج‌گیری اینترنتی است که توسط مجرمان اینترنتی در بازارهای زیرزمینی به فروش می‌رسد. تحقیقات شرکت‌های متعددی هم‌چون «FireEye»، «CrowdStrike»، «Kryptos Logic» و «McAfee» ردپای هکرهای روسی در بسته باج‌افزاری هرمس را نشان می‌دهند.

براساس این تحقیقات، «Wizard Spider» و «CryptoTech»، دو گروه هکری شناخته شده روسی با ضریب اطمینان بالا پشت پرده بسته باج‌افزاری هرمس هستند. گروه Wizard Spider عامل گرداننده «تروجان» معروف به «TrickBot» بود و CryptoTech نیز گروهی بود که سال ۲۰۱۸، مبلغ ۵۸.۵ میلیون دلار را در یک بانک‌زنی سایبری از بانک بین‌المللی خاور دور در تایوان  به سرقت برد.
تروجان‌ها برنامه‌های مخربی هستند که به شکل یک نرم‌افزار جالب به نظر می‌رسند.  

باوجود این اطلاعات پراکنده، مشکل است که بتوان باج‌افزار RYK ransomware را به یک دولت خاص نسبت داد. اما بعید نیست که دولت و یا دولت‌هایی از این باج‌افزار برای اهداف خود استفاده کنند.

نسخه جدید باج‌افزار ریوک با تغییراتی، RYK ransomware نام دارد که ضمن رمزنگاری فایل‌ها و اطلاعات قربانی با پسوند «RYK»، موضوع آلودگی سیستم و نحوه پرداخت باج را در یک فایل متنی تحت عنوان «RyukReadMe.txt»، به قربانی اطلاع می‌دهد. این باج‌افزار از الگوریتم «RSA-4096» و «AES-256» برای رمزنگاری بهره می‌برد و به هر قربانی چند کلید منحصر به فرد برای رهاسازی اطلاعات ارایه می‌کند. این کلید‌ها در یک سرور در راهی دور ذخیره و تنها از طریق ایمیل و پس از پرداخت باج به قربانی ارسال می‌شوند. میزان باج درخواستی، رقمی ثابت نیست. اما به طور معمول، چیزی در حدود سه‌هزار و ۲۰۰ دلار امریکا، به صورت پول اینترنتی «بیت‌کوین» از قربانی طلب می‌شود.
این باج‌افزار اساسا با هدف آلوده‌سازی گروهی کامپیوترها در یک شبکه و یا مجموعه طراحی شده است. تجربه نشان داده است که بازیگران پشت پرده این باج‌افزار همیشه بعد از پرداخت ملبغ درخواستی، اقدام به رهاسازی اطلاعات آن‌ها نمی‌کنند. متاسفانه هیچ راهی برای شکستن رمزهای نوع «AES» و «RSA» این باج‌افزار نبوده و تنها راه نجات و بازپس گیری اطلاعات، تهیه منظم نسخه پشتیبان و جایگزینی آن با نسخه رمزنگاری شده است. تصویر زیر متنی را نشان می‌دهد که این باج‌افزار از طریق فایل (RyukReadMe.txt) به قربانی ارایه می‌کند.

حملات گسترده باجگیران اینترنتی به بیمارستان‌ها

باج‌افزار RYK ransomware از جهات مختلف به دیگر باج‌افزار‌های شناخته شده شباهت دارد. اساسا همه باج افزارها شبیه هم هستند. تنها تفاوت عمده آن‌ها، در مبلغ باج درخواستی و الگوریتمی است که با آن اطلاعات قربانی را رمزنگاری و قفل می‌کنند.

گردانندگان این باج‌افزار از راه‌های مختلف هم‌چون تروجان‌ها، ایمیل، شبکه‌هایی نظیر «P2P»، منابع غیررسمی ارایه کننده نرم‌افزار، سایت‌های دانلود رایگان، به روز رسانی‌های جعلی و شیوه‌هایی از این دست، قربانی را گرفتار دام خود می‌کنند.

کارشناسان توصیه کرده‌اند سیستم مربوط به پشتیبان‌گیری و نسخه‌های پشتیبان ذخیره شده را به هرشکل ممکن از محل آلودگی دور نگه داشته و یا به‌کلی آن را از برق جدا کنند. چون این باج‌افزار قادر است نسخه‌های پشتبان سیستم و شبکه را به همراه فایل‌های جانبی آن آلوده و آن را رمزنگاری کند. این باج‌افزار هم‌چنین این توانایی را داشت که در یک شبکه «LAN» حرکت و درایو‌های متصل به شبکه و حتی سیستم‌های خواب و یا در انتظار کار و حتی سیستم‌عامل‌های «لینوکس»، «یونیکس» و «مک» متصل به شبکه را نیز آلوده کند.

درماه ژانویه سال ۲۰۲۰ نیز نسخه‌ای از باج‌افزار RYK ransomware قادر بود اطلاعات فایل‌های «ورد» و «اکسل» را پیش از رمزنگاری، سرقت کند. این نسخه از بدافزار حتی می‌توانست فایل‌های تصویری و یا فایل‌های مرتبط با رمز ارزها را اسکن و در صورت یافتن رشته‌‌های مورد نظر، آن‌ها را به سرور گردانندگان باج‌افزار منتقل کند.

بزرگ‌ترین عامل گرفتار شدن به باج‌افزار RYK ransomware، مانند هر باج‌افزار دیگری، فقدان دانش فنی و رفتارهای پرخطر در اینترنت، مقل بازکردن ایمیل ‌و فایل‌های ارسالی از افراد و منابع ناشناس، دانلود فایل‌ها و نرم‌افزارهای مجانی و یا کرک شده از منابع ارایه کننده نامطمئن و مواردی از این دست است. به روز نگه ‌داشتن سیستم عامل از طریق دانلود مستقیم بسته‌های به روزرسانی از وب‌سایت تولید کننده سیستم عامل و هم‌چنین استفاده از آنتی ویروس‌های اورجینال و به روز شده می‌تواند تا حد زیادی از گرفتار شدن به دام باج‌افزارها جلوگیری کند.

ثبت نظر

استان‌وایر

کرونا جان دو کودک ۱ و ۹ ساله را در خوزستان گرفت

۱ اسفند ۱۳۹۹
خواندن در ۱ دقیقه
کرونا جان دو کودک ۱ و ۹ ساله را در خوزستان گرفت