«دهارما».. فيروس فدية جديد يضرب مؤسسات الرعاية الصحية

حذر باحثون في أمن المعلومات من هجمات أمنية جديدة تستهدف المؤسسات والشركات، خصوصاً مؤسسات الرعاية الصحية، موضحين أنه يتم شن تلك الهجمات بسلالة جديدة من فيروس من فئة «فيروسات الفدية»، يحمل اسم «دهارما».

وقال الباحثون إن السلالة الجديدة من «دهارما» معقدة ومطورة، وأكثر خطورة من هجمات فيروسات الفدية السابقة التي وقعت العام الماضي، مشيرين إلى أن «دهارما» بدأ هجومه بضرب مستشفى «التوس باي تاون»، في ولاية تكساس الأميركية.

واكتشف تلك السلالة من الفيروس فريق من الباحثين في معامل «فورتي جارد» لأمن المعلومات، بقيادة الباحثين ديفيد ماكجياك، وكيني بونجيان، اللذين نشرا تقريراً مفصلاً عن الفيروس الجديد على المدونة الرسمية لـ«فورتي جارد»، محذرين مؤسسات الرعاية الصحية من هجمات جديدة.

تشفير الملفات

ونشر مستشفى «التوس باي تاون» بياناً رسمياً على موقعه، أكد فيه أنه وقع ضحية لهجوم «دهارما»، مشيراً إلى أن الهجوم بدأ منذ نحو شهرين، لكن لم يتم اكتشافه إلا أول من أمس، حينما بدأ الفيروس يشفر الملفات ويطلب الفدية.

وأوضح بيان المستشفى أنه تم تشفير العديد من السجلات، التي تحتوي على معلومات المرضى، مثل الأسماء، وعناوين المنازل، وتواريخ الميلاد، إضافة إلى أرقام الضمان الاجتماعي، وأرقام رخصة القيادة، فضلاً عن معلومات بطاقة الائتمان، وأرقام الهواتف، والبيانات الطبية، وذلك في أقسام وفروع المستشفى المختلفة، مثل قسم النساء والتوليد، والعمليات الجراحية، علاوة على أقسام الأشعة المختلفة، ومعامل التحاليل وغيرها.

وأضاف البيان أنه في جميع الحالات، تبين أن الفيروس تسلل إلى أنظمة المستشفى منذ فترة، وظل كامناً ثم بدأ التشفير في كل أجزاء المستشفى في وقت واحد، ثم أعقب ذلك طلب الفدية.

وأشار البيان إلى أن المستشفى لم يستجب لطلبات الفدية، ولجأ إلى إحدى الشركات المتخصصة في الأمن الإلكتروني، حيث تم فك التشفير واستعادة البيانات.

ولم يكشف المستشفى عن عدد المرضى الذين تأثروا بهذا الهجوم، لكنه أكد أنه لا يوجد حالياً أي مؤشر إلى أن معلومات وبيانات المرضى تعرضت للضرر، أو تم الوصول إليها أو استخدامها من قبل أي شخص غير مصرح به.

أكثر تعقيداً

من جهتهم، قال الباحثون في الفريق الأمني بمعامل «فورتي جارد»، إن الفيروس الجديد أكثر خطورة وتعقيداً من فيروس «كراي إس آي إس»، الذي تم رصده منذ أشهر عدة، وتم استخدامه في الهجوم على عدد من المصانع وبعض الموانئ البحرية، ما أثر في حركة السفن داخل وخارج تلك الموانئ.

وبين الفريق أن سلالة فيروس «دهارما» الجديدة ستظهر على شكل موجات خلال فترة زمنية قصيرة، مع بعض الإضافات الجديدة التي تمت عليه، متوقعاً أن تستخدم معه سلالات تحت اسم «بي إي بي»، و«كومبو» و«جاما»، ما يعني أنه عبارة عن عائلة من البرامج الضارة وليس فيروساً منفرداً.

وأضاف الفريق الأمني أن المهاجمين، الذين يستخدمون هذا الفيروس، لا يقومون بالفعل بتحديث طريقة عمله، لكنهم يستمرون في الاعتماد على تكتيك أثبت نجاحه في العثور على ضحايا جدد وإلحاقهم به، وهو الاستفادة من ما يعرف بخدمات «آر دي بي»، وهي إحدى الأدوات المستخدمة في شبكات المعلومات، ويتم استغلالها بشكل سيئ للوصول إلى الشبكات وزرع الفيروس بها، ثم شن الهجوم بصورة مفاجئة شاملة على جميع الملفات المتداولة والمخزنة عبر الشبكة، على غرار ما حدث في مستشفى «التوس باي تاون».

الملفات المتداولة

وأوضح فريق «فورتي جارد» أن أحدث نسخة من الفيروس الجديد، التي تم رصدها الأسبوع الماضي، قادرة على تشفير 342 نوعاً من أنواع الملفات المتداولة عبر شبكات المعلومات، والتي تتضمن الوثائق والصور والفيديوهات وملفات الـ«بي دي إف»، وغيرها من أنماط الملفات. وأشار الفريق إلى أنه عند مقارنة أحدث نسخة من الفيروس مع نسخ «جافا» و«كومبو» و«جاما»، وجد أن النسخة الجديدة لا تتضمن ترقية وتحديثاً جديداً للاكواد المستخدمة، لكنها تستخدم برنامج تحميل مختلفاً.

وأضاف أنه بعد أن يثبت الفيروس نفسه على حاسبات الضحية، فإنه يشفر البيانات، مستخدماً خوارزمية تعرف باسم «آر سي 4»، ومفتاح تشفير مكوناً من 128 بت، ثم تخزينه في بداية كتلة البيانات، ومن ثم تستخدم البرامج الضارة لتشفير السلاسل خطوة بخطوة.

نصائح

قدم الباحثون الأمنيون، في معامل «فورتي جارد»، نصائح عدة لتجنب الهجوم بفيروس «دهارما»، أبرزها التعامل بحرص شديد مع الرسائل النصية والبريدية الغامضة، إضافة إلى تجنب تنزيل التطبيقات من مواقع مجهولة أو إباحية، والقيام بعمل نسخ احتياطية من البيانات والتطبيقات دورياً، ويومياً إن أمكن، حتى يتوافر هامش للمناورة والدفاع بعد حدوث الهجمة، فضلاً عن عدم الانصياع للابتزاز ودفع الفدية.