هجمة جديدة عنيفة تشنها مجموعة “فاين 12” الإجرامية ضد مؤسسات الرعاية الصحية

رصد خبراء في أمن المعلومات وقوع هجمة أمنية جديدة وعنيفة جارية الآن حول العالم، تشنها مجموعة “فاين 12” المتخصصة في هجمات الفدية، ضد مؤسسات الرعاية الصحية حول العالم، وتعد إحدى هجمات “راي يو كيه” للفدية التي بدأت منذ أكتوبر 2018 ببريطانيا، وتتم من خلال مشاركة وثيقة مع المنظمات الإجرامية النشطة في مجال التهديد، ومن بينها ” تريك بوت”، ويتم خلالها استخدام ترسانة من أدوات الهجوم والتصيد منها برمجية ” كوبالت سترايك بيكون” المتخصصة في التفاعل مع شبكات الضحايا.

اكتشف الهجمة فريق أمني بشركة “مانديانت” المتخصصة في أمن المعلومات عبر الانترنت، وقالت أن الهجمة تركز على مؤسسات الرعاية الصحية التي يتجاوز دخلها 300 دولار، كما يتم توجيه الهجمة لقطاعات اخري من بينها التعليم والمالية والتصنية وقطاعات التقنية بأمريكا الشمالية وآسيا والمحيط الهادي، وقال الخبراء أن هذه ربما تكون المرة الأولي التي يتم فيها شن هجمة ببرامج الفدية علي نطاق واسع يجعلها ضمن مستوي “التهديد المتميز” علي نطاق واسع.

وتشير البيانات التي رصدها الفريق إلي أن مجموعة “فاين 12” الإجرامية تعتمد علي شركاء آخرين من أجل الوصول الأولي لشبكات الضحايا، ثم شن الهجمة الرئيسية بمعرفتها،  وبدلا من اتباع تكتيك الابتزاز متعدد الأوجه الذي تم تبنيه علي نطاق واسع في هجمات اخري، تركز المجموعة حاليا علي تكتيك السرعة الخاطفة في شن الهجمات وانتقاء الضحايا ذوي الإيرادات الأعلى.

واستخدام وسطاء أو شركاء آخرين للوصول للضحايا ونشر فيروسات وبرامج الفدية لديهم ليس بالأمر الجديد، حيث استخدم في يونيو الماضي، وكانت الأداة الرئيسية فيه هي استخدام رسائل البريد الالكتروني كطريق للتسلل والوصول لشبكات معلومات الضحايا، من خلال شراء معلومات وآليات الوصول من طرف آخر سبق له النجاح في عملية الاختراق لكنه لم يشن هجمات.

والشهر الماضي اكتشفت شركة كيلا لأمن المعلومات أن متوسط تكلفة الوصول الي شبكات الضحايا كان 5400 دولار خلال الفترة من يوليو 2020 الي يونيو 2021، وذلك في سوق ومنتديات الانترنت المظلمة، حيث اصبح هناك مجرمون متخصصون في الاختراق، وزرع البرمجيات الخبيثة التي تفتح الثغرات والابواب الخلفية، ثم يبيعون معلومات وأدوات الاختراق الي مجرمين آخرين يشنون الهجمات الرئيسية وفي مقدمتها هجمات الفدية، يشير استهداف مجموعة “فاين 12” لقطاع الرعاية الصحية إلى أن وسطاء الوصول الأوليين نجحوا بالفعل في عمليات الاختراق وزرع البرمجيات الخبيثة، ويوفرون بيانات الاختراق والوصول الأولي ويعرضونها للبيع في قوائم، لتقوم عصابات ومجموعات مثل فاين 12 بشرائها.

وكشف الرصد الذي قام به الخبراء أنه مجموعة “فاين 12” الإجرامية استخدمت برمجية “تريك بوت” الخبيثة في أواخر عام 2019 للحفاظ على موطئ قدم في الشبكة وتنفيذ مهام المرحلة الأخيرة ، بما في ذلك الاستطلاع وتسليم برمجيات خبيثة ونشر برامج الفدية ، ثم غيرت اسلوبها، وباتت  منذ ذلك الحين تعتمد باستمرار على برمجية” كوبالت سترايك بيكون” للقيام بتنفيذ الهجمات، وتختلف فاين 12 نفسها عن المجموعات الإجرامية الأخرى بأنها  أنها نادرًا ما

تنخرط في ابتزاز سرقة البيانات، وهو تكتيك يُستخدم لتسريب البيانات المسربة عندما يرفض الضحايا الدفع، وتعمد مباشرة  للتحرك بسرعة وضرب الأهداف التي تبدو مستعدة للتسوية بأقل قدر من التفاوض لاستعادة الأنظمة الحيوية، وهو عامل ربما يفسر اهتمامهم المتزايد بمهاجمة شبكات الرعاية الصحية، والدليل علي ذلك أن متوسط الوقت المستغرق للحصول علي فدية عبر ارتباطات تتضمن سرقة البيانات كان 12.4 يوما، وهو التكتيك المتبع من جماعات اخري غير فاين تك، أما في الهجمات التي شنتها فاين تك فلم يحدث بها سرقة بيانات، واستغرق زمن الحصول علي الفدية 2.48 يوما فقط.

Share on Facebook

Tweet