تحقیقات جدید نشان میدهد، درحالیکه بیمارستانهای سراسر جهان در تلاشند تا با بحران ویروس کرونا مقابله کنند، مجرمان سایبری، بدون هیچ وجدان و همدلی، بهطور مداوم سازمانهای بهداشت و درمان، مراکز تحقیقاتی و سایر سازمانهای دولتی را با راهاندازی حملات باجافزاری و سرقت اطلاعات هدف حملات خود قرار میدهند.
در همین راستا، اخیرا یک سازمان دولتی مراقبتهای بهداشتی و یک دانشگاه تحقیقاتی پزشکی در کانادا هر دو توسط مجرمانی که بهدنبال منافع مالی هستند، دچار حملات باجافزاری شدهاند. این حملات که در تاریخ ۲۴ تا ۲۶ ماه مارس شناسایی شدهاند، بخشی از پویشهای فیشینگ با مضمون ویروس کرونا هستند که در ماههای اخیر رواج یافتهاند. این درحالی است که در چند هفتهی گذشته، وزارت بهداشت و خدمات انسانی ایالات متحده (HHS)، شرکت بیوتکنولوژی Genomics 10x، بیمارستان دانشگاه Brno در جمهوری چک و شرکت تحقیقات دارویی HMR نیز هدف حملات سایبری قرار گرفته بودند.
به گفتهی محققان، این پویش با ارسال ایمیلهای مخرب از یک آدرس جعلی و منتسب به سازمان بهداشت جهانی (noreply@who[.]int) به تعدادی از افراد مرتبط با سازمانهای بهداشت و درمان درگیر با COVID-19 آغاز شده است. این ایمیل، حاوی یک سند با فرمت RTF، به نام «۲۰۲۰۰۳۲۳-sitrep-63-covid-19.doc» است که درصورت بازشدن، سعی میکند با بهرهبرداری از یک آسیبپذیری شناختهشدهی سرریز بافر (CVE-2012-0158) موجود در کنترلهای ListView / TreeView ActiveX مایکروسافت در کتابخانهی MSCOMCTL.OCX، باجافزار EDA2 را به سیستم وارد کند.
نکتهی جالب توجه این است كه حتی اگر نام فایل بهوضوح به یک تاریخ خاص (۲۳ مارس ۲۰۲۰) اشاره کند، نام این فایل طی پویش برای بازتاب تاریخهای جاری بهروز نشده است. همچنین، نویسندگان بدافزار به هیچ وجه تلاش نکردهاند تا فریب خود را قانونی جلوه دهند و از صفحهی اول این سند مشخص است که چیزی اشتباه است.
به گفتهی محققان، پس از اجرا، باینری باجافزار بهمنظور دانلود تصویری که بهعنوان اطلاعدهندهی اصلی آلودگی با بدافزار بر روی دستگاه قربانی عمل میکند، و متعاقبا، انتقال جزئیات میزبان با هدف ایجاد یک کلید سفارشی برای رمزنگاری فایلهای موجود در دسکتاپ سیستم با پسوند «.locked20»، با سرور دستور و کنترل (C2) تماس میگیرد. علاوهبر دریافت کلید، میزبان آلوده از یک درخواست HTTP Post برای ارسال کلید رمزگشایی، رمزنگاریشده با AES، به سرور دستور و کنترل استفاده میکند.
محققان دریافتند که باجافزار EDA2 براساس ساختار کد باینری و رفتارهای مبتنیبر میزبان و شبکه است. EDA2 و Hidden Tear یکی از اولین باجافزارهای متن بازی هستند که برای اهداف آموزشی ایجاد شده بودند، اما توسط نفوذگرها برای دنبالکردن منافع خود مورد سوءاستفاده قرار گرفتهاند.
براساس گزارشهای منتشرشده، حملات باجافزاری به مراکز پزشکی بین سالهای ۲۰۱۶ تا ۲۰۱۹ میلادی، ۳۵ درصد افزایش یافته و میانگین تقاضای باج در میان ۱۲۷ رویداد، ۵۹هزار دلار بوده است. برای محافظت از سیستمها در برابر چنین حملاتی، اینترپل به سازمانها هشدار داده است كه مراقب تلاشهای فیشینگ باشند، دادههای حساس را رمزنگاری و بهصورت دورهای از آنها نسخهی پشتیبان تهیه کرده و آنها را بهصورت آفلاین و یا در یک شبكهی دیگر نیز ذخیره کنند.