وصلت حوادث برامج الفدية التي تستهدف مؤسسات الرعاية الصحية إلى أعلى إجمالي ربع سنوي لها خلال الأشهر الثلاثة الأخيرة من عام 2025، مع تسجيل 190 هجمة ضد قطاع الرعاية الصحية، وفقًا لاستخبارات التهديدات الجديدة تقرير من الصحة-ISAC.
ويظهر التقرير، الذي يحلل اتجاهات الأمن السيبراني في مجال الرعاية الصحية، أن إجمالي عدد الحوادث السيبرانية في جميع القطاعات ارتفع إلى 8903 في عام 2025، بزيادة قدرها 55 بالمائة من 5744 حادثًا مسجلاً في عام 2024. كما ارتفع عدد الحوادث المحددة في مجال الرعاية الصحية بنسبة 21 بالمائة على أساس سنوي، من 476 في عام 2024 إلى 575 في عام 2025.
سيطرت اثنتين من نقاط الضعف المهمة على مشهد التهديدات خلال هذا الربع، مما دفع Health-ISAC إلى إرسال 183 تنبيهًا مستهدفًا إلى المنظمات الأعضاء ذات البنية التحتية الضعيفة المحتملة.
الأول يتعلق بـ Ivanti Endpoint Manager، حيث كشف الاستشارة الأمنية الصادرة في شهر ديسمبر عن عيوب خطيرة وثلاثة عيوب عالية الخطورة يمكن أن تسمح للمهاجمين غير المصادقين بالحصول على سيطرة إدارية كاملة على وحدات التحكم الإدارية وجميع الأجهزة التي يديرونها. عملت Health-ISAC مع شركاء الاستخبارات في BlueVoyant لتحديد وتنبيه المنظمات الأعضاء التي يحتمل أن تكون معرضة للخطر.
الثغرة الأمنية الرئيسية الثانية أثرت على خدمات Windows Server Update. أصدرت Microsoft تحديثًا أمنيًا خارج النطاق في أكتوبر لحل CVE-2025-59287، وهو عيب خطير في تنفيذ التعليمات البرمجية عن بُعد بدرجة CVSS تبلغ 9.8. ترجع الثغرة الأمنية إلى الاستخدام غير الآمن لـ .NET BinaryFormatter وتسمح للمهاجمين غير المصادقين بتنفيذ تعليمات برمجية عشوائية بامتيازات SYSTEM. بدأت العملية النشطة في غضون ساعات من نشر إثبات المفهوم.
كما ظهرت قواعد البيانات المفتوحة والمكشوف عنها للعامة وأدوات الوصول عن بعد التي يمكن الوصول إليها بشكل عام بشكل بارز في موضوعات التنبيه لهذا الربع.
الأسواق السرية تتاجر بالوصول إلى شبكات الرعاية الصحية
واصلت الجهات التهديدية بيع إمكانية الوصول إلى مؤسسات الرعاية الصحية من خلال المنتديات السرية خلال هذا الربع. نشر مستخدم تم تحديده باسم RAZOR-X في منتدى الجرائم الإلكترونية باللغة الروسية في نوفمبر، مدعيًا أنه يبيع الوصول الأولي إلى الشبكات في الولايات المتحدة وكندا والمملكة المتحدة وأستراليا والاتحاد الأوروبي، بما في ذلك شركتان للرعاية الصحية.
تم وصف الهدف الأول بأنه 11 مليون دولار من الإيرادات السنوية، مع إمكانية الوصول عبر شبكة Fortinet VPN مع حقوق مسؤول المجال. أما الكيان الثاني، الذي تبلغ إيراداته السنوية 25 مليون دولار، فقد قدم وصولاً مماثلاً لـ Fortinet VPN مع حقوق مستخدم المجال. ولم يذكر البائع الأسعار ولكنه طلب من الأطراف المهتمة الاتصال بهم على انفراد.
ويشير التقرير إلى أن الجهات الفاعلة في مجال التهديد غالبًا ما تخفي هويات الضحايا بينما تقدم أرقام الإيرادات أو معلومات الصناعة للإشارة إلى قيمة البيانات التي يتم بيعها بالمزاد العلني. عادةً ما يتم طلب الدفع بالعملة المشفرة، مع تسهيل المعاملات أحيانًا بواسطة مسؤولي المنتدى.
خذها بعيدا
- قم بتطبيق تصحيحات Ivanti Endpoint Manager وWindows Server Update Services على الفور، خاصة إذا كان أي من النظامين معرضًا للإنترنت.
- تحقق من تكوينات VPN وعناصر التحكم في الوصول الخاصة بـ Fortinet، حيث أن الجهات الفاعلة في مجال التهديد تبيع بشكل نشط إمكانية الوصول إلى الشبكة التي يتم الحصول عليها من خلال هذه الأنظمة.
- تنفيذ مصادقة متعددة العوامل لجميع الحسابات، وخاصة تلك التي تتمتع بإمكانيات الوصول عن بعد.
- احتفظ بنسخ احتياطية منتظمة دون الاتصال بالإنترنت للبيانات المهمة واختبر إجراءات الاسترداد للتأكد من إمكانية الاسترداد دون دفع فدية.
- تنفيذ حلول الكشف عن نقاط النهاية والاستجابة لها ومراقبة مؤشرات الاختراق المرتبطة ببرنامج طلب الفدية Akira، بما في ذلك الاستخدام غير المعتاد لـ PsExec ونشاط RDP غير الطبيعي.
- فرض تجزئة الشبكة لعزل الأنظمة المهمة ومنع الحركة الجانبية للمهاجمين.
- قم بإجراء اختبارات الاختراق المنتظمة وتمارين الفريق الأحمر لتحديد نقاط الضعف قبل قيام الجهات التهديدية بذلك.
- شارك معلومات التهديد مع أقرانك في الصناعة من خلال منظمات مثل Health-ISAC لتعزيز الدفاع الجماعي.
