عملية Rhysida Ransomware وراء الكشف هجوم إلكتروني على المكتبة البريطانية ضربت مستشفى الملك إدوارد السابع الخاص في وسط لندن، حيث زعمت أنها سرقت بيانات عن العائلة المالكة، من بين أمور أخرى.
وأعلنت العصابة عن الهجوم عبر موقع تسريب الويب المظلم الخاص بها الأسبوع الماضي، ونشرت صورًا لوثائق يُفترض أنها بحوزتها، والتي يبدو أنها تتضمن نسخًا من الأشعة السينية والتقارير الطبية والوصفات الطبية واستمارات التسجيل.
وتماشيًا مع طريقة عمله المعتادة، يعرض مشغل برامج الفدية البيانات المسروقة للبيع، بسعر محدد عند 10 بيتكوين – ما يقرب من 300 ألف جنيه إسترليني بالأسعار السائدة. إن اتخاذ هذه الخطوة يعني أن المستشفى رفض التفاوض بشأن الفدية.
إذا لم يقبل أي مشتر العرض في غضون سبعة أيام من الإعلان الأولي، فقد هددت ريسيدا بإتاحة البيانات للعامة. وسوف يمر هذا الموعد النهائي يوم الثلاثاء 5 ديسمبر.
لم يتم التحقق من تفاخر العصابة بأن كمية من هذه البيانات تتعلق بالعائلة المالكة البريطانية، ومثل أي ادعاء يقدمه مجرمون الإنترنت، يجب التعامل معه بقدر كبير من الشك.
تدرك شركة Computer Weekly أن البيانات الشخصية للعائلة المالكة تخضع لضوابط أمنية إلكترونية صارمة بشكل خاص وأن أي منظمة تمتلكها لا يمكنها القيام بذلك دون اتخاذ احتياطات إضافية واسعة النطاق لحمايتها.
وقال متحدث باسم المستشفى: “لقد واجهنا مؤخرًا حادثًا يتعلق بأمن تكنولوجيا المعلومات يتضمن وصولاً مؤقتًا وغير مصرح به إلى أنظمتنا. لقد اتخذنا خطوات فورية للتخفيف من تأثير الحادث وواصلنا تقديم الرعاية والخدمات للمرضى، كالمعتاد إلى حد كبير.
“لقد أطلقنا أيضًا تحقيقًا شاملاً أكد أنه تم نسخ كمية صغيرة من البيانات من جزء من نظام تكنولوجيا المعلومات لدينا. على الرغم من أن هذه كانت في المقام الأول بيانات أنظمة المستشفيات الحميدة، فقد تم نسخ كمية محدودة من معلومات المرضى، ونحن نقوم بإخطار مجموعة فرعية صغيرة من قاعدة بيانات المرضى لدينا حول هذا الموضوع.
وأضافوا: “الغالبية العظمى من المرضى لا يتأثرون بهذا بأي شكل من الأشكال، ونحن نقدم اعتذارنا عن أي قلق قد يسببه هذا الحادث”.
الدعم من المملكة المتحدة المركز الوطني للأمن السيبراني وتمت صياغة تطبيق القانون.
يقع مستشفى الملك إدوارد السابع في مارليبون في لندن، وقد أسسته شقيقتان، أغنيس وفاني كيسر، في مطلع القرن العشرين، وكان مخصصًا في الأصل لتوفير الرعاية للمرضى والجرحى من الجنود العائدين من حرب البوير في جنوب إفريقيا. تم تسميتها فيما بعد على اسم راعيها الأول، الملك إدوارد السابع.
وقد حافظت على روابط وثيقة مع العائلة المالكة على مدى 120 عامًا الماضية، حيث قدمت الرعاية للملكة الأم والأميرة مارغريت والأمير فيليب والملك تشارلز الثالث ودوقة يورك وأميرة ويلز والملكة الراحلة إليزابيث الثانية.
كشاف سايبر وقال روبرت فيتزسيمونز، مهندس استخبارات التهديدات الرئيسي: “إن ريسيدا هي برامج الفدية كخدمة [RaaS] مجموعة نشطة منذ منتصف عام 2023 على الأقل، وتطالب حاليًا بتسوية 60 ضحية وفقًا لمدونة اسم الضحية والعار.
“تشير العديد من التقارير مفتوحة المصدر إلى ذلك ريسيدا يستخدم التصيد الاحتيالي وبيانات اعتماد VPN المخترقة واستغلال الثغرات الأمنية كناقل وصول أولي، مما يظهر تنوعًا ومجموعة واسعة من المهارات في المجموعة التابعة لهم. علاوة على ذلك، لا يبدو أنهم يستهدفون صناعة أو موقعًا جغرافيًا محددًا عندما يتعلق الأمر باختيار الضحايا، وتشفير أي كيان يمكنهم القيام به، مهما كان هناك ميل بسيط نحو ذلك. الشركات العاملة في مجال التعليم وقد لوحظ.
“للتشفير، يستخدمون مكتبة LibTomCrypt وخوارزمية التشفير ChaCha20. وبعد الوصول الأولي إلى شبكة الضحية، تستخدم Rhysida عددًا من الأدوات المشروعة، بما في ذلك Cobalt Strike وPsExec وProcDump وAnyDesk، على غرار عصابات برامج الفدية الأخرى.
