أصابت مجموعة المتسللين المخترقين "ميز" البنية التحتية لشركة تقوم بأبحاث حول فيروس كورونا ببرامج الفدية، وتمكنت من سرقة ونشر البيانات الحساسة.

اختراق المعلومات الطبية

أخبرت شركة إمسيسوفت للأمن السيبراني كوينتيليغراف في ٢٣ مارس أن قراصنة مجموعة ميز قاموا بالتأثير على شركة هامرسميث ميديسنز ريسرش البريطانية. وتتضمن البيانات المنشورة بيانات حساسة عن المتطوعين في الاختبارات الطبية مثل وثائق الهوية كجوازات السفر والخلفية الطبية وتفاصيل الاختبارات. وقد صرح محلل التهديدات في إمسيسوفت بريت كالو قائلًا:

"إن [البيانات] موجودة على الويب حيث يمكن لأي شخص الوصول إليها عبر الإنترنت. [...] ومن شبه المؤكد أن المجرمين لم ينشروا جميع البيانات التي سرقت. فطريقة عملهم هي تسمية الشركات التي ضربوها على موقعهم الإلكتروني أولًا، وإذا لم يقنعهم ذلك بالدفع، ينشرون كمية صغيرة من بياناتهم - وهي المرحلة التي يبدو فيها هذا الحادث - كما يسمى "البراهين".

ولحسن الحظ، ذكر ومبيوتر ويكلي أن أبحاث هامرسميث للأدوية تمكنت من تشغيل الأنظمة بحلول نهاية اليوم. وأشار كالو إلى أنه "يبدو أنهم كانوا قادرين على استعادة أنظمتهم بسرعة من النسخ الاحتياطية". وقال أيضًا إن البيانات التي تم نشرها سابقًا على موقع القراصنة لم تعد متاحة:

"لاحظوا أنه منذ إطلاق تقرير كومبيوتر ويكلي، تمت إزالة البيانات المسروقة من HMR مؤقتًا من موقع المجرمين على الويب. [...] ولكن هذه هي المشكلة. يقوم مجرمون آخرون بتنزيل البيانات المنشورة على مواقع التسرب هذه واستخدامها لأغراضهم الخاصة".

كما قال كالو لكوينتيليغراف إنه لا يعرف مدى ارتفاع الفدية المطلوبة. ومع ذلك، أشار إلى أن المجموعة طلبت سابقًا حوالي مليون دولار في بيتكوين لاستعادة الوصول إلى البيانات ومليون دولار آخر في بيتكوين لحذف نسختهم وإيقاف نشرها.

وحسبما ذكرت كوينتيليغراف في أوائل فبراير، قامت ميز أيضًا باختراق خمس شركات محاماة بالولايات المتحدة وطالبت بفديتين من ١٠٠ بيتكوين في مقابل استعادة البيانات وحذف نسختهما. وقد قال كالو أن مجموعات برامج الفدية تطلب دائمًا تقريبًا الدفع باستخدام بيتكوين:

"٩٩٪ من طلبات الفدية بالبيتكوين، وحتى الآن، كانت العملة المفضلة لمجموعة ميز".

المجرمون ليسوا روبن هود

في الحوادث السابقة، نشرت ميز أيضًا بيانات مسروقة على منتديات الجرائم الإلكترونية الروسية التي أوصت بـ "استخدام هذه المعلومات بأي طريقة شريرة تريدها". كما انتقد كالو "عددًا غير كبير من المنشورات" التي أبلغت مؤخرًا عن كيف أوقفت بعض مجموعات برامج الفدية - بما في ذلك ميز - هجماتها في وقت الوباء. حيث قال:

"أفاد عدد غير قليل من المنشورات مؤخرًا أن بعض مجموعات برامج الفدية، بما في ذلك ميز، أعلنت عفوًا عن الهجمات على المنظمات الطبية طوال فترة تفشي مرض كورونا، ومنذ ذلك الحين رأيتها توصف بأنها 'تشبه روبن هود. "هذا يوضح بوضوح أنه، بدون مفاجأة لأي أحد على الإطلاق، لا يمكن الوثوق بالمجرمين ومن الخطأ منحهم صوتًا".

كما قال كالو إن مستوى التهديد هو نفسه الذي كان عليه دائمًا، أو ربما أعلى. كما أصر على أنه "ينبغي عدم إعطاء هذه المجموعات منصة تمكنهم من التقليل من شأن هذه الحقيقة". ويتماشى هذا مع تقرير إميسوفت الأخير الذي يفيد بأن هجمات برامج الفدية لها جانب موسمي وعدد الهجمات المرتفعة خلال أشهر الربيع والصيف.