كشفت شركة Trellix عن موجة هجمات جديدة استهدفت ست شركات في تايوان، معظمها مستشفيات، باستخدام برمجية الفدية CrazyHunter. هذه البرمجية المبنية بلغة Go تُعد نسخة معدلة من برمجية Prince، وتتميز بقدرات تشفير متقدمة ووسائل توزيع موجهة ضد أنظمة Windows. إضافة إلى ذلك، يدير المهاجمون موقعاً لتسريب البيانات بهدف الضغط على الضحايا عبر نشر معلوماتهم الحساسة.
أساليب الاختراق
تبدأ عملية الاختراق عادةً باستغلال نقاط ضعف في بنية Active Directory الخاصة بالمؤسسات، خصوصاً عبر كلمات مرور ضعيفة لحسابات النطاق. بعد ذلك، يستخدم المهاجمون أداة SharpGPOAbuse لنشر الحمولة الخبيثة عبر سياسات المجموعة (GPOs) وتوسيع الانتشار داخل الشبكة. كما يتم استغلال برنامج تشغيل معدل من أداة مكافحة البرمجيات الخبيثة Zemana لتنفيذ هجوم BYOVD (Bring Your Own Vulnerable Driver)، مما يمنح المهاجمين صلاحيات مرتفعة ويسمح لهم بقتل العمليات الأمنية النشطة.
هوية المهاجمين
تشير السلطات التايوانية إلى أن مجموعة CrazyHunter نشطة منذ أوائل عام 2025، ويُعتقد أنها تضم شخصين صينيين يُعرفان باسم Luo وXu. هؤلاء قاموا ببيع البيانات المسروقة إلى شبكات تهريب في الصين وتايوان. وفي أغسطس الماضي، ألقت السلطات القبض على مشتبهين تايوانيين متورطين في تهريب البيانات، لكنهما أُطلق سراحهما لاحقاً بكفالة.
دلالات أمنية
الهجوم على المستشفيات يسلط الضوء على خطورة استهداف البنية التحتية الحيوية، حيث يؤدي تعطيل الأنظمة الطبية إلى تهديد مباشر لحياة المرضى. كما أن استخدام تقنيات مثل BYOVD يعكس تطوراً في أساليب المهاجمين، إذ يتم استغلال مكونات مشروعة لكنها ضعيفة لتعطيل الدفاعات الأمنية. هذا يضع المؤسسات الصحية والصناعية أمام تحديات متزايدة في تعزيز أمنها السيبراني.
