"מחלת" הסייבר: האנטומיה של גריי ו-ER תחת מתקפה רחבה
עשרות בתי חולים בארצות הברית הותקפו בימים האחרונים, בהם שישה ביום אחד, על ידי הנוזקה Ryuk, וייתכן שגם על ידי הטרויאני Trickbot ● מומחים התריעו כי מתקפות כאלה עלולות לשבש את פעולות בית החולים ולהוביל לאובדן חיים
האנטומיה של גריי ו-ER נמצאות על הכוונת של ההאקרים. הכוונה היא לא לסדרות הידועות ולקאסט שלהן, אלא לעשרות בתי חולים בארצות הברית, שנמצאים בימים האחרונים תחת מתקפת כופרה רחבת היקף מצד האקרים שמקורם, ככל הנראה, במזרח אירופה. באחד הימים הותקפו שישה בתי חולים ביום אחד.
ה-FBI חוקר את המתקפות האחרונות, שהחלו בראשית השבוע וכוללות, בין השאר, בתי חולים וארגוני בריאות באורגון, קליפורניה וניו-יורק. בנוסף, גורמים פדרליים דחקו אתמול (ד') בארגוני בריאות להחמיר את ההיערכות שלהם במהירות – למקרה שהם היעד הבא בתור. בשיחות שניהלו אנשי ה-FBI והמשרד להגנת המולדת עם מנהלי בתי חולים ומומחי אבטחה רשתית הם הזהירו את המוסדות הרפואיים מפני מתקפות עתידיות, והנחו אותם לוודא שמערכות הגיבוי שלהם תקינות. עוד הם הורו להם לנתק מערכות מהאינטרנט במידת האפשר ולהימנע משימוש בחשבונות מייל אישיים.
רופא בבית חולים באורגון, שהותקף, אמר כי "בית החולים עבר לאחר המתקפה לעבוד עם מסמכים מנייר" וכי הוא "לא מסוגל להעביר חולים אל ומבית החולים, כיוון שבית החולים הקרוב ביותר נמצא במרחק של שעה נסיעה". לדברי הרופא, "אנחנו עדיין יכולים לצפות בתוצאות של בדיקות, אך כל התוצאות מועברות בנייר בלבד. הצוות יכול לראות רשומות היסטוריות, אבל לא לעדכן קבצים בנתונים חדשים".
"אחד משחקני האיומים החצופים וחסרי הלב"
מומחים אמרו כי ייתכן שקבוצת ההאקרים שעומדת מאחורי מתקפות הכופרה היא Wizard Spider or UNC 1878, או UNC 1878. הם הזהירו כי מתקפות כאלה עלולות לשבש את פעולות בית החולים ולהוביל לאובדן חיים.
לדברי צ'ארלס קראמקאל, סגן נשיא בכיר במנדיאנט מבית פייראיי, "UNC1878 הוא אחד משחקני האיומים החצופים, חסרי הלב והמשבשים ביותר שראיתי במהלך הקריירה שלי".
אנליסט מודיעין איומים אמר כי "אמנם, כמה מתקפות כופרה נגד ארגוני בריאות הפכו לכמעט 'דבר שבשגרה', אולם זו הפעם הראשונה ששישה בתי חולים הותקפו בכופרה באותו יום על ידי אותו שחקן איומים". מומחה אבטחה אחר ציין שבעבר, מתקפות כופרה על בתי חולים הביאו להשבתת בסיסי נתונים שהכילו רשומות רפואיות עדכניות של מטופלים – מה שקריטי לטיפול בהם, ומשפיע על יכולת בתי החולים לספק שירותים נאותים ועדכניים.
Ryuk שיחקה תפקיד גם כאן
מומחי אבטחה שנמצאים בקשר עם בתי החולים שנפגעו אמרו כי פושעי הסייבר השתמשו בדרך כלל בסוג של כופרה המכונה Ryuk, שנועלת את מחשב הקורבן עד לקבלת דמי הכופר. מומחה אבטחה אחר ציין כי התוקפים השתמשו בכופרה זו לצד טרויאני אחר, המכונה Trickbot.
לפני ימים אחדים פורסם כי חוקרי סופוס גילו שהתוקפים שמאחורי Ryuk השתמשו בגרסה מעודכנת של כלים לגיטימיים, הזמינים לכל, על מנת לפגוע ברשתות ולהפעיל את הכופרה. באופן חריג, התוקפים התקדמו במהירות גדולה: בתוך שלוש עד שבע שעות מהרגע שבו עובד פתח קובץ זדוני שצורף להודעת פישינג, הם כבר ביצעו סיור מודיעיני ברשת. בתוך 24 שעות, לתוקפים כבר הייתה גישה ל-Domain controller, והם היו ערוכים ומוכנים להשיק את Ryuk.
בינואר השנה, בסיס משמר החופים האמריקני נפגע ושותק למשך 30 שעות עקב מתקפת כופר שהתרחשה בסוף דצמבר 2019. המתקפה הפסיקה את פעילות המצלמות, מערכות בקרת הגישה לדלתות ומערכות פיקוח קריטיות במתקן של המשמר, ששמו ומיקומו לא נמסרו לפרסום. ההתקפה נגד הבסיס בוצעה באמצעות Ryuk, ועל פי ההערכה פושעי הסייבר נכנסו לרשת שלו באמצעות מתקפת פישינג מוצלחת.
אחרי ש-Ryuk הופיעה ב-2017, ההערכות הראשוניות היו שהכופרה קשורה לצפון קוריאה, אך באחרונה היא דווקא חשודה כקשורה למערך פשיעה רוסי. בכל מקרה, Ryuk הפכה בשנתיים האחרונות לסוג מתקפה פופולרי. היא שימשה בתקיפות בעלות פרופיל גבוה, ביניהן תקיפת ערים בפלורידה, שהתרחשה ביוני 2018. לפני כשנה היא שוב "כיכבה" בחדשות, לאחר שבוצעה באמצעותה תקיפה של פטרוליוס מקסיקנוס – חברת נפט מקסיקנית שנמצאת בבעלות המדינה. הכופרה ניסתה לתקוף גם בישראל – באפריל 2019 היא שוגרה לעבר הסניף המקומי של ורינט, חברה אמריקנית המתמחה בפתרונות מודיעין עסקי לצד הגנת סייבר. גם במקרה זה המתקפה הופצה דרך מייל פישינג.
מנגנון הפצה למתקפות מזיקות יותר
לפני כשבועיים וחצי פורסם שזרוע הסייבר ההתקפית של הפנטגון, פיקוד הסייבר בצבא האמריקני, ביצעה פעולות שיבוש רחבות היקף נגד רשת הבוטים Trickbot. מדובר בבוטנט שמאז 2016 הדביקה יותר ממיליון מחשבים ברחבי העולם. המניע לפעולות השיבוש הוא הרצון למנוע ממפעילי הרשת לתקוף מטרות אמריקניות, בין השאר כדי למנוע פגיעה בבחירות לנשיאות.
על פי הממשל בוושיגנטון, האנשים שעומדים מאחורי TrickBot – אוסף של מחשבים "זומבים" שנפגעו על ידי תוקפים דוברי רוסית – מוגבלים לאחר הגילוי ביכולתם להדביק קורבנות חדשים ולהפעיל מתקפות כופרה. Trickbot ידועה בגניבת מידע ממחשבים שנפגעו, ובאחרונה נצפתה בעיקר כמנגנון הפצה למתקפות מזיקות יותר, כגון כופרה. ההאקרים המפעילים את רשת הבוטים פועלים במתכונת "נוזקה כשירות", ומוכרים ל-"לקוחות" – האקרים אחרים – גישה למחשבים הנגועים.
תגובות
(0)