أعلنت هيئة الخدمات الصحية الوطنية “NHS” عن “حادث خطير” هذا الأسبوع، حيث أدى هجوم إلكتروني إلى إلغاء العمليات واختبارات الدم في مستشفيات لندن.
وكشفت هيئة الخدمات الصحية الوطنية يوم الاثنين أن شركة Synnovis، وهي شركة تقدم خدمات المختبرات، تعرضت لهجوم فدية أدى إلى إغلاق الخدمات الرئيسية.
وقد أدى ذلك إلى اضطراب واسع النطاق حيث اضطرت المستشفيات المتضررة إلى إلغاء العمليات واختبارات الدم أو الاستعانة بمصادر خارجية.
تحدثت MailOnline مع خبراء الأمن السيبراني لإظهار كيف يستغل المتسللون عيوبًا بسيطة في الأنظمة للسيطرة على البيانات الحيوية.
يكشف هؤلاء الخبراء كيف تعمل شبكة من الوسطاء المتخصصين وعصابات برامج الفدية معًا لاستغلال خدماتنا الصحية لتحقيق الربح.
أعلنت هيئة الخدمات الصحية الوطنية في إنجلترا عن وقوع حادث خطير حيث كان مزود خدمات المختبرات بالشراكة مع العديد من مستشفيات لندن بما في ذلك مستشفى كينغز كوليدج (في الصورة) ضحية لهجوم إلكتروني
وقال باتريك بيرجيس، خبير الأمن السيبراني في معهد تشارترد لتكنولوجيا المعلومات، لـ MailOnline إن الهجوم السيبراني يُعرّف عمومًا بأنه “وصول ضار أو غير مصرح به إلى نظام رقمي”.
“إن جزءًا كبيرًا من حياتنا مدعوم الآن بشبكات الكمبيوتر وأجهزة الكمبيوتر المحمولة والهواتف؛ ويوضح السيد بيرجيس أن أيًا من هذه الأشياء يمكن، من الناحية النظرية، أن يتعرض لهجوم إلكتروني.
في حين أن هذه الهجمات يمكن أن تتخذ أشكالًا مختلفة، فقد كشفت هيئة الخدمات الصحية الوطنية في إنجلترا أن شركة Synnovis كانت ضحية لهجوم إلكتروني من نوع “رانسوم وير”.
خلال هذا النوع من الهجمات، يتمكن المتسلل من الوصول إلى نظام كمبيوتر الشركة ويقوم بإغلاق النظام من الداخل من أجل ابتزاز فدية.
وللقيام بذلك، ستقوم الجماعات الإجرامية التي تسمى عصابات برامج الفدية أولاً بتحديد الشركات التي تكون أنظمتها معرضة بالفعل للهجوم.
وفي بعض الحالات، قد يستخدمون مجموعات إجرامية متخصصة تسمى “وسطاء الوصول” الذين يعملون كميسرين لهجماتهم.
تقدم شركة Synnovis (في الصورة) خدمات علم الأمراض لهيئة الخدمات الصحية الوطنية. وبدون خدماتها، لم تتمكن العديد من الصناديق الاستئمانية من توفير عمليات نقل الدم أو نتائج الاختبارات
تقضي هذه المجموعات وقتها بالكامل في البحث عن طرق للوصول إلى الأنظمة ومحاولة العثور على كلمات مرور مخترقة لبيعها من أجل الربح بدلاً من القيام بالهجوم بأنفسهم.
يمكن لعصابة برامج الفدية بعد ذلك شراء أي بيانات اعتماد تبدو مربحة من “الويب المظلم” واستخدامها لزرع برامج ضارة (“برامج ضارة”) في نظام الشركة.
وفي حالات أخرى، ترسل عصابات برامج الفدية نفسها الملايين من رسائل البريد الإلكتروني التصيدية الآلية إلى قوائم ضخمة من الشركات.
قد تحتوي رسائل البريد الإلكتروني هذه على روابط أو تنزيلات تؤدي إلى تثبيت فيروس على كمبيوتر الضحية، والذي يمكن أن ينتشر منه ليصيب النظام بأكمله.
وبمجرد زرع هذا الفيروس على جهاز واحد، فإنه يمنح المتسللين موطئ قدم يمكنهم من خلاله الانتشار ببطء للسيطرة على الشبكة بأكملها.
وقال روس بروير، نائب رئيس شركة Graylog للأمن السيبراني، لـ MailOnline، إن المتسللين يستخدمون أسلوبًا “منخفضًا وبطيئًا” للسيطرة على الأنظمة الرئيسية.
ويقول: “إنهم لا يريدون أن يتم القبض عليهم، لذا فهم عادة ما يعملون ببطء على مدى أيام أو أسابيع أو أشهر قبل أن يسحبوا جميع المقابس”.
في مستشفيات مثل سانت توماس (في الصورة)، تم إلغاء العمليات أو نقلها إلى مقدمي خدمات آخرين
وفقًا للبيانات التي جمعتها شركة Mandiant، كان متوسط الوقت بين الإصابة الأولى والاستيلاء 10 أيام في عام 2023.
ولكن بمجرد أن يكون لدى المجرمين كل شيء في مكانه الصحيح، فسوف يستغلون الأدوات الموجودة داخل شبكة الكمبيوتر للسيطرة على المستخدمين الشرعيين وإبعادهم.
ويوضح السيد بروير أن ذلك يتم عادة عن طريق تشفير بيانات الشركة بحيث لا يتمكن الموظفون من قراءتها بعد الآن.
نظرًا لأن هذا هو نفس نوع التشفير الذي تستخدمه الشركات للحفاظ على أمان المعلومات، فلا يمكنها فك تشفير بياناتها بدون “المفتاح” الذي تحتفظ به عصابة برامج الفدية.
يقول الخبراء إن المتسللين استخدموا عيوبًا بسيطة لتثبيت برامج ضارة قامت بتشفير أجزاء رئيسية من بيانات شركة Synnovis، مما يعني أن الشركة غير قادرة على تقديم خدماتها (صورة أرشيفية)
وفي حالة مقدمي الرعاية الصحية مثل Synnovis، يؤدي هذا إلى حدوث تأخيرات لأن البرامج الضارة تمنع الموظفين من الوصول إلى المعلومات المهمة.
وتقول هيئة الخدمات الصحية الوطنية إنها اضطرت إلى إلغاء عمليات نقل الدم وعمليات المرضى بسبب الاختراق.
وقال مستشار الأمن السيبراني جيمس بور لـ MailOnline: “ما سيحدث هو أنه سيكون هناك نظام قاعدة بيانات معني والذي سيتم تقديمه لتسريع نتائج اختبارات الدم.
“الآن، إذا تم تشفير قاعدة البيانات هذه (من قبل المتسللين)، فسيتعين عليك فجأة الرجوع إلى الملاحظات الورقية.”
وفي بيان صدر أمس، أكدت هيئة الخدمات الصحية الوطنية في إنجلترا أن الاختراق كان له “تأثير كبير على تقديم الخدمات”.
وقد تأثرت مؤسسات غاي وسانت توماس ومستشفى كينغز كوليدج التابعة لهيئة الخدمات الصحية الوطنية بالإضافة إلى خدمات الرعاية الأولية في جنوب شرق لندن بالتأخير.
لقد تم بالفعل إلغاء بعض الإجراءات أو نقلها إلى مقدمي خدمات آخرين حيث تفقد المستشفيات الشريكة مع Synnovis إمكانية الوصول إلى خدمات نقل الدم والاختبار.
وإلى أن تقوم شركة Synnovis بدفع الفدية أو استعادة البيانات من نسخة احتياطية، فمن المحتمل أن يستمر التأخير والتعطيل
لاستعادة الخدمات عبر الإنترنت، سيحتاج Synnovis إما إلى دفع الفدية أو استعادة بياناته من نسخة احتياطية سابقة.
لا تدفع هيئة الخدمات الصحية الوطنية (NHS) والمركز الوطني للأمن السيبراني الفدية كقاعدة عامة، وحتى لو فعلوا ذلك، فليس هناك ضمان لاستعادة بياناتهم.
ويقول السيد بور: لا توجد ضمانات؛ أنت تتعامل مع منظمة إجرامية أثبتت أنها سعيدة تمامًا بخرق القانون.
في بعض الحالات، قد يرفض مجرمو الإنترنت الذين يقفون وراء الهجوم ببساطة فك تشفير البيانات أو قد يستخدمون تقنية تسمى “الابتزاز المزدوج”.
لا يجوز للمجرمين تشفير البيانات فحسب، بل قد يسرقون نسخة منها ويهددون بنشرها عبر الإنترنت إذا لم يدفع الضحية.
وهذا يعني أنه من المحتمل أن يتعين على Synnovis استعادة قواعد بياناتها من نسخة احتياطية سابقة – وهي عملية تستغرق وقتًا طويلاً وصعبة ويمكن أن تستغرق ما بين أيام وأسابيع.
وقال الخبراء لـ MailOnline أن مثل هذه الهجمات عادة لا تكون مستهدفة بشكل كبير ومن المرجح أن تكون Synnovis قد تعرضت للضرب كجزء من “جريمة الفرصة”.
ومع ذلك، في حين أن الاتصال الأولي ربما كان سيئ الحظ، فإن أهمية سينوفيس ربما جعلت المجرمين أكثر حرصًا على متابعة هجومهم.
يقول My Bore: “من الجدير بالملاحظة أن الشركة التي تأثرت، قبل بضعة أشهر فقط، كانت تعلن بسعادة أنها تمكنت من تحقيق مركزية خدمات علم الأمراض في العديد من المستشفيات المختلفة.”
ليس من الواضح ما إذا كان قد تم استهداف Synnovis عمدا. يعد العمل المعملي لهيئة الخدمات الصحية الوطنية خدمة بالغة الأهمية مما يجعلها جاهزة للابتزاز ولكن غالبية هجمات برامج الفدية تكون انتهازية (صورة أرشيفية)
وربما جعل هذا من Synnovis هدفًا مغريًا للمجرمين الذين يأملون في أن يؤدي التعطيل المحتمل الأكبر إلى فدية أكبر.
وأشار سياران مارتن، الرئيس التنفيذي السابق للمركز الوطني للأمن السيبراني، إلى أن المجموعة التي تقف وراء الهجوم يمكن أن تكون جهة تهديد تعرف باسم كونتي.
وعلى الرغم من أن الأدلة لا تزال في طور الظهور، فمن المعتقد أن كونتي قد يكون وراء مجموعة البرامج الضارة Black Basta المستخدمة في هذا الهجوم والعديد من الهجمات الأخرى.
وقالت جوان كوي، كبيرة محللي استخبارات التهديدات السيبرانية في Bridewell، لـ MailOnline: “لدى Black Basta تاريخ واضح في استهداف قطاع الرعاية الصحية – في الواقع، قاموا بتسريع هجماتهم ضد هذا القطاع في عام 2024”.
تضيف السيدة كوي: “المجموعة التي تقف وراء الهجوم على Synnovis معروفة باستخدام رسائل البريد الإلكتروني التصيدية شديدة الاستهداف للوصول الأولي، لذلك من الممكن أن تكون هذه هي الطريقة التي تم بها اختراق Synnovis”.