قبل أسبوعين ، تعرضت شبكة Memorial Health System ، وهي شبكة تدير العديد من المستشفيات في وست فرجينيا وأوهايو ، لهجوم من برامج الفدية دمر أنظمة الكمبيوتر في ثلاثة مستشفيات. وأدى هذا الهجوم إلى إغلاق المواقع الإلكترونية والخدمات الإلكترونية لهذه المستشفيات ، وكذلك إلغاء بعض العمليات. وكان وراء الهجوم مجموعة برامج الفدية “Hive” التي لوحظت لأول مرة في يونيو الماضي.
في محاولة للحد من تقدم مجموعة “Hive”، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرا للشركات، لكون برنامج الفدية يجمع بين تقنيات مختلفة لتحديد أهدافه ، مما يجعل من الصعب للغاية محاربته.
وأصدر قسم الإنترنت في مكتب التحقيقات الفيدرالي تنبيها عن برامج الفدية التي يصعب مكافحتها بحيث من بين الطرق المستخدمة للوصول إلى الشبكات والتخفي، مرفقات البريد الإلكتروني الدائمة وبروتوكول التحكم عن بعد بسطح المكتب (RDP) ، والذي يقوم بعد ذلك بنقل البيانات والتجول في الشبكة.
بمجرد إصابة النظام ، يرسل Hive بيانات مهمة إلى خادم عن بعد ويقوم بتشفير البيانات المحلية على الكمبيوتر المعرض للخطر. ثم تترك المجموعة مذكرة فدية في المستندات المصابة تطالب من خلالها الضحايا على دفع فدية مشيرة إلى مشاركة البيانات علنًا على موقع Tor “HiveLeaks” في حالة الرفض. كما تتضمن المذكرة تعليمات حول كيفية شراء برنامج فك التشفير وتمنح الضحايا خيار الاتصال بالمهاجمين من خلال الدردشة المباشرة.
وأكد مكتب التحقيقات الفيدرالي (FBI) على أن هذه البرامج الضارة تفحص عمليات النسخ الاحتياطي وبرامج مكافحة الفيروسات مثل Windows Defender ، من أجل تعطيلها، وتستخدم البرنامج النصي (سكريبت) “hive.bat” الذي يمحو كل آثار Hive ، ويترك فقط الملفات المشفرة على أجهزة الكمبيوتر وإجراءات استعادتها. ثم يقوم برنامج نصي آخر “shadow.bat” بحذف النسخ، ونسخ النظم الاحتياطية وعادة ما تنتهي الملفات المشفرة بامتداد “hive.”.
يقول مكتب التحقيقات الفيدرالي إن بعض الضحايا تلقوا مكالمات هاتفية من أشخاص وراء Hive يطلبون منهم الدفع في غضون 2-6 أيام. ومع ذلك ، قام المتسللون بتمديد الموعد النهائي بشكل منهجي بعد الاتصال بالشركة الضحية.
إلى حدود اليوم ، اخترق Hive Ransomware ( هايڤ ) 28 شركة في كل من هولندا وسويسرا والنرويج والبرتغال والمملكة المتحدة والولايات المتحدة وأستراليا والصين والهند وبيرو وتايلاند بحسب مكتب التحقيقات الفيدرالي، وهو رقم يشمل فقط الضحايا الذين رفضوا دفع فدية.
ويوصي مكتب التحقيقات الفيدرالي بعدم الدفع لمجموعات برامج الفدية، وذلك من أجل ثنيهم عن الاستمرار في العمل ، في غياب وجود ضمانة بعدم إتلاف البيانات المسروقة بدلا من بيعها أو إعطائها لأطراف ثالثة.
كما يطلب مكتب التحقيقات الفيدرالي من الشركات الإبلاغ عن هذه الحوادث لمساعدة المحققين في جمع المعلومات الهامة التي يمكنها تحديد المسؤولين عن هذه الهجمات.