كانت البوابة الرقمية المشتركة مصدرًا لثلاث هجمات ببرامج الفدية التابعة لهيئة الخدمات الصحية الوطنية
ليفربول مؤسسة ألدر هاي للأطفال التابعة لهيئة الخدمات الصحية الوطنية كشفت أن الخدمة المشتركة تعمل بنفسها و مستشفى ليفربول للقلب والصدر التابع لهيئة الخدمات الصحية الوطنية كان مصدر اختراق INC Ransom الذي أثر على بيانات المرضى في كلا المستشفيين، وكذلك مستشفى جامعة ليفربول الملكي.
الهجوم, والتي ظهرت إلى النور في 28 نوفمبر، شهدت بيانات تم تسريبها من أنظمة تكنولوجيا المعلومات الخاصة بالصناديق الاستئمانية، ولكنها غير مرتبطة بهجوم منفصل من برامج الفدية ضد مؤسسة مستشفيات جامعة ويرال التابعة لهيئة الخدمات الصحية الوطنية، والتي تكشفت قبل أيام قليلة وتم ربطه بطاقم RansomHub.
وفي تحديث تمت مشاركته في 4 ديسمبر، قال Alder Hey: “حصل المجرمون على وصول غير قانوني إلى البيانات من خلال خدمة البوابة الرقمية المشتركة بين Alder Hey ومستشفى ليفربول للقلب والصدر.
“لقد أدى ذلك إلى وصول المهاجم بشكل غير قانوني إلى الأنظمة التي تحتوي على بيانات من Alder Hey Children’s NHS Foundation Trust، ومستشفى ليفربول للقلب والصدر، وكمية صغيرة من البيانات من مستشفى جامعة ليفربول الملكي.
وقالت مؤسسة Trust إن تحقيقاتها في البيانات المسروقة مستمرة، وقد يستغرق ذلك بعض الوقت. وحذرت من احتمال قيام عصابة برامج الفدية بنشر البيانات قبل اكتمال تحقيقاتها، في إشارة إلى أنها تقف بثبات وتقاوم المطالب، كما هو الحال مع سياسة القطاع العام في المملكة المتحدة.
“بمجرد أن نتمكن من تحديث التأثير على بيانات الأشخاص، سنقدم تحديثًا إضافيًا. ويستمر العمل مع الوكالة الوطنية لمكافحة الجريمة لتأمين الأنظمة المتأثرة واتخاذ المزيد من الخطوات بما يتماشى مع نصيحة إنفاذ القانون. وقال ألدر هاي: “نحن نتبع أيضًا إرشادات مكتب مفوض المعلومات وسنضمن الاتصال المباشر وتقديم الدعم لأي شخص يتأثر بخرق البيانات هذا”.
بالإضافة إلى ذلك، أكدت أن خدماتها الأساسية في الخطوط الأمامية لم تتأثر وأنها تعمل كالمعتاد، ويجب على المرضى حضور المواعيد كما هو مقرر.
وأضاف Trust’s أن جهود التعافي تحرز تقدمًا قويًا. وقالت: “كجزء من استجابتنا لهذا التهديد، أحرزنا تقدمًا في تأمين الأنظمة المتأثرة وضمان عدم استمرار وصول المهاجمين. وهذا يعني أننا في وضع يسمح لنا بالبدء في إعادة ربط أنظمتنا عندما يكون القيام بذلك آمنًا”.
هل كان Citrix Bleed متورطًا؟
يبدو أن تأكيد Alder Hey بأن خدمة البوابة الرقمية كانت بمثابة نقطة دخول لمشغلي INC Ransom يؤكد التقارير السابقة – لكل أمن المعلومات – أن العصابة هاجمت مثيل Citrix الذي تديره Trust.
إذا كان الأمر كذلك، فمن المحتمل أن العصابة استخدمت ثغرة أمنية حرجة في Citrix NetScaler Application Delivery Controller (ADC) وأجهزة Citrix NetScaler Gateway، والتي يتم تتبعها باسم CVE-2023-4966، ولكنها معروفة أكثر باسم Citrix Bleed.
تم اكتشافه في نهاية عام 2023، يتيح Citrix Bleed إمكانية اختطاف الجلسة والكشف عن البيانات. إنها أحد أيام الصفر الأكثر استغلالًا على نطاق واسع خلال الأشهر الـ 12 الماضية وقد تم استخدامه على نطاق واسع في هجمات برامج الفدية – ولا سيما في عدد من الحوادث البارزة التي تنطوي على عصابة LockBit. وفقًا لمعلومات شركة Secureworks، وقد استهدفتها INC Ransom أيضًا بحماس كبير.
وقال رافي بيلينغ، مدير استخبارات التهديدات في وحدة مكافحة التهديدات في شركة Secureworks: “العصابات الإجرامية انتهازية في البحث عن الدفعة التالية، ولا يهمهم تأثير أفعالهم. وحقيقة أن هذا المستشفى متخصص للغاية في علاج الأطفال لن يتسبب في فقدانهم أي قدر من النوم. لقد رأينا سابقًا GOLD IONIC – المجموعة التي تدير برامج الفدية INC – ضرب NHS Dumfries و Galloway. تؤكد هذه الهجمات على الرعاية الصحية في الخطوط الأمامية أن هذا القطاع هدف ضعيف ويجب حمايته.
“كانت INC Ransom واحدة من أكثر مجموعات التهديد نشاطًا التي لاحظتها وحدة Secureworks CTU خلال العام الماضي، بعد أن بدأت العمل في يوليو 2023. يقع معظم ضحاياها في الولايات المتحدة، ومع ذلك فإن انتشارها العالمي آخذ في النمو. ويمثل ضحاياه مجموعة واسعة من القطاعات، ولكن الأكثر شيوعاً هي المنظمات الصناعية والرعاية الصحية والتعليمية.
