حمله باج‌افزاری ALPHV باعث اختلال گسترده در بیمارستان‌های کانادا شد

گزارش‌ها نشان می‌دهد که شبکه‌ای از بیمارستان‌ها در کانادا در روز ۹ نوامبر ۲۰۲۵ هدف حمله باج‌افزاری هماهنگ از سوی گروه شناخته‌شده ALPHV (BlackCat) قرار گرفته‌اند. این رخداد موجب اختلال گسترده در سامانه‌های حیاتی، از جمله پرونده پزشکی الکترونیکی، ثبت پذیرش و برنامه‌ریزی جراحی‌ها شده است.

براساس گزارش رسانه‌های امنیت سایبری مطرح از جمله BleepingComputer و SecurityWeek، مهاجمان از طریق یک آسیب‌پذیری در سیستم IT یکی از پیمانکاران فرعی وارد شبکه شده‌اند. سپس با افزایش سطح دسترسی، داده‌های حساسی شامل نام، تاریخ تولد، اطلاعات درمانی، نتایج آزمایش‌ها و شماره پرونده‌ها را استخراج کرده‌اند.

کارشناسان می‌گویند این گروه از روش‌های پیچیده برای دور زدن ابزارهای امنیتی استفاده کرده‌است. با ورود اولیه، بدافزار روی چندین سرور حیاتی مستقر شد و داده‌ها رمزگذاری شدند. مهاجمان سپس درخواست باجی چند میلیون دلاری کردند و تهدید کردند که اگر پرداخت انجام نشود، اطلاعات بیماران را منتشر خواهند کرد.

طبق گزارش TheRecord، بخشی از داده‌های سرقت‌شده اکنون در Dark Web منتشر شده که شامل سوابق پزشکی و گزارش‌های درمانی است. این موضوع نگرانی‌های جدی در زمینه سوءاستفاده از اطلاعات بیماران ایجاد کرده است.

مسئولان این مراکز درمانی اعلام کردند که بخشی از خدمات غیرضروری به حالت تعلیق درآمده و بیماران اورژانسی به مراکز دیگر منتقل شده‌اند. همچنین برخی جراحی‌های برنامه‌ریزی‌شده لغو و زمان‌ جدید تعیین شده است. گزارش‌ها نشان می‌دهد که حجم قابل‌توجهی از سیستم‌ها اکنون به‌صورت آفلاین مدیریت می‌شود تا از گسترش حمله جلوگیری شود.

روش حمله

طبق بررسی اولیه تیم‌های Incident Response، روند حمله شامل مراحل زیر بوده است:

1. نفوذ اولیه از طریق پیمانکار فرعی
2. سرقت اعتبارنامه‌ها با حملات مهندسی اجتماعی
3. استفاده از ابزارهای مخفی برای گسترش جانبی 
4. رمزگذاری و استخراج داده‌ها توسط باج‌افزار
5. درخواست باج و تهدید به انتشار

گزارش‌ها حاکی است که مهاجمان از ابزارهای مرسوم مانند Cobalt Strike و Mimikatz برای استخراج اطلاعات و افزایش دسترسی استفاده کرده‌اند.

واکنش دولت کانادا

دفتر امنیت ملی کانادا (CSIS) و پلیس فدرال (RCMP) وارد عمل شده و تحقیقات گسترده در مورد این موضوع آغاز شده است.
براساس اعلام مسئولان، فعلاً تصمیمی مبنی بر پرداخت باج گرفته نشده و تمرکز بر بازیابی اطلاعات از نسخه‌های پشتیبان امن است.

افزایش حملات مشابه علیه شبکه‌های درمانی باعث شده دولت کانادا بودجه بیشتری برای ارتقاء زیرساخت‌های امنیت سایبری در بخش سلامت تخصیص دهد.

پیامدها

الهام از تحلیل CyberScoop:

• افشای اطلاعات پزشکی می‌تواند منجر به اخاذی ثانویه از بیماران شود.
• اختلال در خدمات بیمارستانی، باعث افزایش فشار روی سایر مراکز درمانی همجوار شده است.
• احتمال استفاده از داده‌ها برای کلاهبرداری بیمه‌ای و مالی وجود دارد.

همچنین کارشناسان هشدار داده‌اند این نوع حملات می‌تواند به‌سرعت به سایر بخش‌های زنجیره تأمین خدمات درمانی گسترش یابد.

چرا ALPHV خطرناک است؟

گروه ALPHV از سال ۲۰۲۲ فعال بوده و مسئولیت حملات بزرگی علیه سازمان‌های انرژی، صنایع نفت و گاز و مراکز دانشگاهی را برعهده داشته است.
نسخه‌ جدید بدافزار آنها به‌گونه‌ای طراحی شده که:

• از شناسایی توسط آنتی‌ویروس‌ها فرار می‌کند
• ارتباطات رمزگذاری‌شده دارد
• امکان Double Extortion (رمزگذاری + افشای داده) را دارد

توصیه کارشناسان

به‌استناد CISA:

• پیاده‌سازی احراز هویت چندمرحله‌ای
• شبکه‌بندی مجزا برای داده‌های حساس
• نگهداری نسخه‌های پشتیبان آفلاین
• آموزش کارکنان در مورد تهدیدات ایمیلی
• پایش لحظه‌ای شبکه

برای مطالعه مقالات بیشتر به سایت خانه متاورس ایران سر بزنید.