افزایش حملات باج‌افزاری به سازمان‌های بهداشتی و درمانی مهم با شیوع ویروس کرونا

تحقیقات جدید نشان می‌دهد، درحالی‌که بیمارستان‌های سراسر جهان در تلاشند تا با بحران ویروس کرونا مقابله کنند، مجرمان سایبری، بدون هیچ وجدان و همدلی، به‌طور مداوم سازمان‌های بهداشت و درمان، مراکز تحقیقاتی و سایر سازمان‌های دولتی را با راه‌اندازی حملات باج‌افزاری و سرقت اطلاعات هدف حملات خود قرار می‌دهند.

در همین راستا، اخیرا یک سازمان دولتی مراقبت‌های بهداشتی و یک دانشگاه تحقیقاتی پزشکی در کانادا هر دو توسط مجرمانی که به‌دنبال منافع مالی هستند، دچار حملات باج‌افزاری شده‌اند. این حملات که در تاریخ ۲۴ تا ۲۶ ماه مارس شناسایی شده‌اند، بخشی از پویش‌های فیشینگ با مضمون ویروس کرونا هستند که در ماه‌های اخیر رواج یافته‌اند. این درحالی است که در چند هفته‌ی گذشته، وزارت بهداشت و خدمات انسانی ایالات متحده (HHS)، شرکت بیوتکنولوژی Genomics 10x، بیمارستان دانشگاه Brno در جمهوری چک و شرکت تحقیقات دارویی HMR نیز هدف حملات سایبری قرار گرفته‌ بودند.

به گفته‌ی محققان، این پویش با ارسال ایمیل‌های مخرب از یک آدرس جعلی و منتسب به سازمان بهداشت جهانی (noreply@who[.]int) به تعدادی از افراد مرتبط با سازمان‌های بهداشت و درمان درگیر با COVID-19 آغاز شده است. این ایمیل، حاوی یک سند با فرمت RTF، به نام «۲۰۲۰۰۳۲۳-sitrep-63-covid-19.doc» است که درصورت بازشدن، سعی می‌کند با بهره‌برداری از یک آسیب‌پذیری شناخته‌شده‌ی سرریز بافر (CVE-2012-0158) موجود در کنترل‌های ListView / TreeView ActiveX مایکروسافت در کتابخانه‌ی MSCOMCTL.OCX، باج‌افزار EDA2 را به سیستم وارد کند.

نکته‌ی جالب توجه این است كه حتی اگر نام فایل به‌وضوح به یک تاریخ خاص (۲۳ مارس ۲۰۲۰) اشاره کند، نام این فایل طی پویش برای بازتاب تاریخ‌های جاری به‌روز نشده است. همچنین، نویسندگان بدافزار به هیچ وجه تلاش نکرده‌اند تا فریب خود را قانونی جلوه دهند و از صفحه‌ی اول این سند مشخص است که چیزی اشتباه است.

به گفته‌ی محققان، پس از اجرا، باینری باج‌افزار به‌منظور دانلود تصویری که به‌عنوان اطلاع‌دهنده‌ی اصلی آلودگی با بدافزار بر روی دستگاه قربانی عمل می‌کند، و متعاقبا، انتقال جزئیات میزبان با هدف ایجاد یک کلید سفارشی برای رمزنگاری فایل‌های موجود در دسکتاپ سیستم با پسوند «.locked20»، با سرور دستور و کنترل (C2) تماس می‌گیرد. علاوه‌بر دریافت کلید، میزبان آلوده از یک درخواست HTTP Post برای ارسال کلید رمزگشایی، رمزنگاری‌شده با AES، به سرور دستور و کنترل استفاده می‌کند.

محققان دریافتند که باج‌افزار EDA2 براساس ساختار کد باینری و رفتارهای مبتنی‌بر میزبان و شبکه است. EDA2 و Hidden Tear یکی از اولین باج‌افزارهای متن بازی هستند که برای اهداف آموزشی ایجاد شده بودند، اما توسط نفوذگرها برای دنبال‌کردن منافع خود مورد سوءاستفاده قرار گرفته‌اند.

براساس گزارش‌های منتشرشده، حملات باج‌افزاری به مراکز پزشکی بین سال‌های ۲۰۱۶ تا ۲۰۱۹ میلادی، ۳۵ درصد افزایش یافته و میانگین تقاضای باج در میان ۱۲۷ رویداد، ۵۹هزار دلار بوده است. برای محافظت از سیستم‌ها در برابر چنین حملاتی، اینترپل به سازمان‌ها هشدار داده است كه مراقب تلاش‌های فیشینگ باشند، داده‌های حساس را رمزنگاری و به‌صورت دوره‌ای از آن‌ها نسخه‌ی پشتیبان تهیه کرده و آن‌ها را به‌صورت آفلاین و یا در یک شبكه‌ی دیگر نیز ذخیره کنند.

منبع

پست‌های مشابه

Leave a Comment