يُشكّل برنامج الفدية CrazyHunter تهديداً متطوراً وخطراً متزايداً يستهدف قطاع الرعاية الصحية والبنية التحتية الطبية الحساسة.
يمثل هذا البرمجية الخبيثة، المطورة بلغة Go، تصعيداً كبيراً في تعقيد برامج الفدية، حيث تستخدم أساليب تشفير متقدمة وآليات تسليم مصممة لتجاوز الدفاعات الأمنية الحديثة.
تعرضت مؤسسات الرعاية الصحية في تايوان لهجمات متكررة، حيث وقعت ست مؤسسات على الأقل ضحية لهذه الحملة العدوانية.
إن تركيز برامج الفدية على قطاع الرعاية الصحية أمر مقلق للغاية نظراً للطبيعة الحرجة للخدمات الطبية، حيث يمكن أن يؤثر تعطل الأنظمة بشكل مباشر على رعاية المرضى. تحتفظ المؤسسات بكميات هائلة من معلومات المرضى الحساسة، مما يجعلها أهدافاً قيمة للابتزاز.
CrazyHunter Ransomware: هجوم متطور على قطاع الرعاية الصحية
تُظهر منهجية الهجوم تعقيداً تكتيكياً ونضجاً تشغيلياً. يعمل CrazyHunter من خلال عملية متعددة المراحل ومنسقة بعناية تبدأ بالاختراق الأولي عبر استغلال Active Directory، مستفيداً من ضعف كلمات مرور حسابات المجال كنقطة دخول.
بمجرد الدخول إلى الشبكة، يستخدم المهاجمون أداة SharpGPOAbuse لتوزيع حمولة برامج الفدية عبر Group Policy Objects، مما يتيح انتشاراً سريعاً عبر الأنظمة المتصلة.
تقوم البرمجية الخبيثة بعد ذلك بتنفيذ تسلسل من العمليات المنسقة المصممة لتعطيل الأنظمة الأمنية، وتشفير الملفات الهامة، والحفاظ على سرية العمليات طوال دورة حياة الهجوم.
ما يجعل CrazyHunter خطيراً بشكل خاص هو قدرته على التهرب من الحلول الأمنية التقليدية. تستخدم البرمجية الخبيثة مكونات متعددة لتعطيل برامج مكافحة الفيروسات، وتقنيات تنفيذ متطورة في الذاكرة، وآليات تشفير النسخ الاحتياطي لضمان التشفير الناجح حتى لو فشلت طرق النشر الأولية.
وفقاً لمحللي Trellix Threat Intelligence، تم تحديد وتتبع برنامج الفدية CrazyHunter منذ ظهوره الأولي، مع ملاحظة الباحثين الأمنيين لدورة تطويره السريعة والتقدم الملحوظ في تقنيات اختراق الشبكات.
يعمل التهديد من خلال قنوات تفاوض فدية منظمة، بما في ذلك عناوين البريد الإلكتروني المخصصة وقنوات الاتصال عبر Telegram والبنية التحتية للشبكة المجهولة، مما يشير إلى عملية جنائية منظمة ذات عمليات مشاركة راسخة مع الضحايا.
تكشف البنية التحتية التقنية التي تدعم CrazyHunter عن قرارات تصميم متعمدة تهدف إلى زيادة الفعالية مع تقليل الكشف.
تستخدم البرمجية الخبيثة نهج “إحضار برنامجك الخاص من برنامج تشغيل قابل للاختراق” (bring-your-own-vulnerable-driver)، مستغلة برنامج مشغل مضاد للبرمجيات الضارة Zemana شرعي ولكنه قابل للاختراق، الإصدار 2.18.371.0، لرفع الامتيازات وإنهاء عمليات البرامج الأمنية.
تتيح هذه التقنية للمهاجمين تسجيل تعليماتهم البرمجية الضارة كمتصل بعملية مصرح بها باستخدام رموز اتصال IOCTL محددة، ثم إنهاء حلول مكافحة الفيروسات المعروفة بشكل منهجي من خلال طلبات إنهاء العمليات.
تستخدم عمليات تسجيل وإنهاء برنامج التشغيل رموز اتصال محددة مصممة لتجاوز المراقبة الأمنية التقليدية.
آليات التشفير واستراتيجية حماية البيانات
يستخدم CrazyHunter بنية تشفير هجينة تجمع بين الأساليب التشفيرية المتماثلة وغير المتماثلة لضمان حماية الملفات وفعالية الفدية.
تستخدم البرمجية الخبيثة خوارزمية ChaCha20 stream cipher كخوارزمية التشفير الأساسية، وتعمل باستراتيجية تشفير جزئي مميزة بدلاً من التشفير الكامل للملف.
يتم تشفير بايت واحد من كل ملف مشفر، متبوعاً ببايتين غير مشفرين، مما يخلق نسبة تشفير 1:2.
هذا النمط المتعمد يسرع بشكل كبير عملية التشفير، مما يسمح بالاختراق السريع لكميات كبيرة من الملفات مع إمكانية التهرب من الكشف من قبل الحلول الأمنية التي تراقب أنماط نشاط إدخال/إخراج القرص.
تحمي آلية التشفير مفاتيحها التشفيرية باستخدام مخطط التشفير المتكامل للمنحنيات الإهليلجية (ECIES)، وهو أسلوب تشفير غير متماثل يوفر أماناً قوياً بأطوال مفاتيح أقصر مقارنة بخوارزميات RSA التقليدية.
تنشئ البرمجية الخبيثة مفاتيح ChaCha20 و nonces فريدة لكل ملف، ثم تقوم بتشفير آليات الحماية هذه باستخدام المفتاح العام ECIES للمهاجم.
يتم إلحاق المفتاح المشفر و nonce بكل ملف، مما يجعل فك التشفير مستحيلاً دون الوصول إلى المفتاح الخاص المقابل الذي يحتفظ به مشغلو الجريمة حصرياً.
تتلقى الملفات المشفرة امتداد .Hunter وتنسيقاً منظماً يحتوي على مفتاح ECIES المشفر، و nonce المشفر ECIES، ومحتوى الملف المشفر جزئياً بترتيب تسلسلي.
يضمن هذا الأساس التقني أن الضحايا لا يمكنهم استعادة البيانات المشفرة بالوسائل التقليدية، مما يخلق الظروف اللازمة لتفاوض ناجح على الفدية وجمع المدفوعات.