حمله سایبری به سیستم‌های درمانی و کازینوی قبیله‌ای در مینه‌سوتا

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، پس از چندین روز گزارش درباره قطعی‌های فناوری، این قبیله که به‌طور فدرال به رسمیت شناخته شده و در جنوب مرکزی مینه‌سوتا مستقر است، اعلام کرد که مجبور شده است پروتکل‌های واکنش به حادثه را پس از کشف یک رخنه امنیتی در برخی سیستم‌های متصل به کازینوی جکپات جانکشن (Jackpot Junction)، کازینوی محلی تحت کنترل این قبیله، فعال کند.

مقامات قبیله‌ای در یک پست در شبکه‌های اجتماعی اعلام کردند:

قبیله به اجرای اقدامات لازم برای مهار این حادثه ادامه می‌دهد، از جمله غیرفعال‌سازی برخی سیستم‌ها مانند خطوط تلفن، دستگاه‌های فکس و ایمیل‌های قبیله‌ای.

آن‌ها افزودند که قبیله در حال همکاری با کارشناسان امنیت سایبری شخص ثالث است تا این حمله را مهار کرده و عملیات‌ها را در سریع‌ترین و امن‌ترین حالت ممکن به وضعیت عادی بازگرداند.

قبیله شماره‌های تماس موقتی برای مرکز سلامت محلی، مرکز دندانپزشکی، فروشگاه اپتیک و داروخانه قبیله منتشر کرد.

همچنین، از افراد خواسته شد برای دریافت نسخه‌های دارویی خود از اپلیکیشن مخصوص داروخانه استفاده کنند.

مقامات دولتی برای اولین بار در ۲۸ مارس از بروز مشکلات فنی خبر دادند و اعلام کردند که خطوط تلفن از کار افتاده‌اند.

کازینوی جکپات جانکشن نیز اعلام کرد که تمامی سیستم‌های هتل آن از کار افتاده و امکان رزرو یا لغو رزروها وجود ندارد.

علاوه بر این، تمامی بازی‌های دیجیتال کازینو، از جمله دستگاه‌های اسلات، تحت تأثیر حمله سایبری قرار گرفته و از دسترس خارج شده‌اند.

حدود ۱۴۵ خانواده از قبیله لوور سیوکس (Lower Sioux) در ۱,۷۴۳ جریب زمین قبیله‌ای زندگی می‌کنند.

مجموع جمعیت قبیله‌ای این منطقه ۹۸۲ نفر است که در محدوده‌ای با شعاع ۱۰ مایلی و فراتر از آن پراکنده شده‌اند.

روز دوشنبه، گروه باج‌افزاری رنسوم هاب (RansomHub) مسئولیت حمله را بر عهده گرفت.

این همان گروهی است که در ماه فوریه قبیله سائولت ترایب آو چیپوا سرخ پوستان (Sault Tribe of Chippewa Indians) در میشیگان را هدف قرار داده بود.

گروه رنسوم هاب به سرعت به عنوان یکی از گروه‌های پیشرو در باج‌افزارها تبدیل شده است، به‌ویژه پس از آنکه مقامات قانونی در سال گذشته گروه‌های بدنام لاکبیت (LockBit) و ای ال پی اچ وی (AlphV) را هدف قرار دادند.

محققان شرکت امنیت سایبری ایست (ESET) در گزارشی اعلام کردند که این گروه با توسعه یک بدافزار خاص به نام ای در آر کیل شیفتر (EDRKillShifter) به شهرت رسیده است.

این بدافزار قادر است سیستم‌های امنیتی شناسایی تهدید (EDR) را خاموش، کور یا مختل کند.

جیکوب سوچک، محقق ایست، توضیح داد:

تصمیم برای پیاده‌سازی این ابزار و ارائه آن به همکاران به عنوان بخشی از برنامه باج‌افزار به عنوان سرویس (RaaS)  اقدامی نادر است.

معمولاً مجرمان سایبری خود باید روش‌هایی برای دور زدن سیستم‌های امنیتی پیدا کنند، اما رنسوم هاب این ابزار را در اختیار شرکای خود قرار می‌دهد، که این امر موجب افزایش چشمگیر استفاده از ای در آر کیل شیفتر در حملات سایبری شده است.

گزارش ایست نشان می‌دهد که رنسوم هاب با سایر گروه‌های پیشرفته باج‌افزاری مانند پلی (Play)، مدوسا (Medusa) و بیان لیان (BianLian) نیز در ارتباط است.

اعضای این گروه‌ها نیز از ای در آر کیل شیفتر برای دور زدن سیستم‌های امنیتی استفاده می‌کنند.

رنسوم هاب ابتدا خدمات خود را در فروم‌های سایبری روسی تبلیغ کرد و به همکارانش پیشنهاد داد که ۹۰٪ از مبلغ باج دریافتی را دریافت کنند.

برخلاف دیگر گروه‌های باج‌افزاری، رنسوم هاب اجازه می‌دهد که شرکا مبلغ کامل باج را در کیف پول خود دریافت کنند و از آن‌ها انتظار دارد که ۱۰٪ سهم توسعه‌دهندگان را به صورت داوطلبانه ارسال کنند.

این روش به اعتماد متقابل بین مجرمان کمک می‌کند و همکاری آن‌ها را افزایش می‌دهد.