باج‌افزار فیلادلفیا سازمان‌های بهداشتی و درمانی را هدف قرار داده است

محققان امنیتی از شرکت فرانت‌پوینت از ظهور باج‌افزار جدیدی هشدار دادند که سازمان‌ها در حوزه‌ی بهداشت و درمان را هدف قرار داده است. این بدافزار با نام فیلادلفیا نسخه‌ای از بدافزار Stampado است که سال گذشته ظاهر شد و جزو یکی از ارزان‌ قیمت‌ترین باج‌افزارهایی بود که در اختیار مهاجمان سایبری قرار داشت و به قیمت تنها ۳۹ دلار به فروش می‌رسید. ماه گذشته تبلیغ باج‌افزار فیلادلفیا در یوتیوب مورد بررسی قرار گرفته بود.

باج‌افزار فیلادلفیا از طریق رایانامه‌های فیشینگ توزیع می‌شود که این رایانامه‌ها حاوی یک آدرس URL کوتاه‌شده هستند و در حال حاضر از این بدافزار برای آلوده کردن یک بیمارستان در اورگان و در جنوب غربی واشنگتن استفاده شده است. این پیوند، قربانی را به سمت یک وب‌گاه شخصی هدایت می‌کند که بر روی آن یک پرونده‌ی docx مخرب میزبانی شده و برای اینکه قانونی جلوه کند، از نماد بیمارستانِ هدف نیز استفاده شده است.

این پرونده حاوی آیکون مربوط به ۳ سند بوده که گفته می‌شود اطلاعات بیمار است و قربانی ترغیب می‌شود تا بر روی آن‌ها کلیک کند. وقتی کاربر بر روی این آیکون‌ها کلیک کرد، یک پرونده‌ی جاوا اسکریپت مخرب اجرا شده و باج‌افزار فیلادلفیا را بارگیری و نصب می‌کند. پس از نصب، بدافزار با کارگزار دستور و کنترل خود ارتباط برقرار می‌کند. بدافزار اطلاعات مختلفی را از سامانه‌ی قربانی مانند نوع سامانه عامل، نام کاربری، کشور و زبان دستگاه به کارگزار دستور و کنترل ارسال می‌کند و ادامه نیز کارگزار یک شناسه‌ی منحصربفرد برای قربانی، شناسه‌ی کیف‌ پول بیت‌کوین و مقدار باج را برای سامانه‌ی قربانی ارسال می‌کند.

در ادامه باج‌افزار با استفاده از الگوریتم AES با طول کلید ۲۵۶ بیت، به رمزنگاری پرونده‌های قربانی می‌پردازد. پس از تکمیل فرآیند رمزنگاری، باج‌افزاری پیغامی را به کاربر نمایش داده و اطلاع می‌دهد که پرونده‌های او رمزنگاری شده و برای بازیابی آن‌ها باید ۰.۳ بیت‌کوین به آدرس مشخصی ارسال کنند. محققان امنیتی می‌گویند این مهاجمان با استفاده از رایانامه‌های فیشینگ بیمارستان‌ها را هدف قرار داده‌اند و حملات از هفته‌ی سوم ماه مارس آغاز شده است.

منبع: securityweek.com