داخل خرق اليوم الصفري لأوراكل: كيف كشف برنامج الفدية Clop بيانات مرضى وموظفي Barts Health NHS

استغلال عصابة برامج الفدية لثغرة برمجية خفية يترك أحد أكبر صناديق المستشفيات في المملكة المتحدة يكافح لاحتواء تداعيات تسريب البيانات على الويب المظلم.

في أواخر عام 2025، اكتشف صندوق Barts Health NHS - أكبر مجموعة مستشفيات في المملكة المتحدة - أنه كان أحدث ضحية في موجة عالمية من الهجمات السيبرانية. فقد قامت عصابة برامج الفدية Clop بسحب بيانات حساسة لسنوات تخص المرضى وموظفي الفواتير، مستغلة ثغرة يوم صفري في برنامج أوراكل الشهير للأعمال. لم يُكتشف الخرق لعدة أشهر، ولم يظهر إلا عندما ظهرت الملفات المسروقة على الويب المظلم، مما عرّض الآلاف لخطر الاحتيال والاستهداف.

حقائق سريعة

المهاجمون: استغلت مجموعة برامج الفدية Clop ثغرة غير مرقعة في Oracle E-Business Suite.
البيانات المكشوفة: الأسماء، العناوين، سجلات الفواتير للمرضى الدافعين، وموظفين لديهم ديون مستحقة.
الجدول الزمني: وقع الخرق في أغسطس 2025؛ ولم يُكتشف إلا في نوفمبر عندما ظهرت الملفات على الويب المظلم.
النطاق: البيانات تمتد لعدة سنوات وتشمل معلومات من Barts Health وصندوق مستشفيات Barking, Havering, and Redbridge University NHS.
الوضع الحالي: لا يوجد دليل حتى الآن على ظهور البيانات على الإنترنت العام، لكن مخاطر الهندسة الاجتماعية لا تزال قائمة.

تشريح اختراق الرعاية الصحية الحديث

بدأ الخرق بثغرة "يوم صفري" - ثغرة أمنية غير معروفة سابقاً - في Oracle E-Business Suite، وهي منصة برمجية تعتمد عليها المؤسسات حول العالم لإدارة المهام المالية والتشغيلية. وبينما أصدرت أوراكل في النهاية تصحيحاً، تحرك قراصنة Clop بسرعة، مستهدفين المؤسسات قبل أن تتمكن من تحديث دفاعاتها.

في Barts Health، تمكن المهاجمون من الوصول إلى قاعدة بيانات الفواتير التي تحتوي على تفاصيل شخصية للمرضى الذين دفعوا مقابل العلاجات، بالإضافة إلى معلومات الموردين والموظفين السابقين المتعلقة بخصومات الرواتب أو المدفوعات الزائدة. ما يقرب من نصف الملفات المخترقة احتوت على بيانات موردين متاحة بالفعل في المجال العام، لكن الباقي كشف عن عناوين خاصة وتواريخ فواتير - كنز للمحتالين.

كما أثر الخرق على بيانات تديرها Barts Health نيابة عن صندوق مستشفيات Barking, Havering, and Redbridge University NHS، مما يسلط الضوء على المخاطر المترابطة لخدمات تكنولوجيا المعلومات المشتركة في قطاع الرعاية الصحية. وعلى الرغم من الخرق، تؤكد Barts Health أن السجلات الطبية الإلكترونية أو الأنظمة السريرية الأساسية لم تتأثر، في محاولة لطمأنة المرضى بأن بياناتهم الصحية الأكثر حساسية لا تزال آمنة.

اكتشاف متأخر، مخاطر مستمرة

لم يُكشف الحجم الحقيقي للخرق إلا بعد أشهر من سرقة البيانات الأولية، عندما نشر Clop ملفات مضغوطة على منتديات الويب المظلم المشفرة. حتى الآن، لم تنتشر المعلومات على الإنترنت المفتوح، لكن خبراء الجريمة السيبرانية يحذرون من أن الأسماء والعناوين المكشوفة قد تغذي حملات تصيد احتيالي أو عمليات احتيال دفع مستهدفة.

رداً على ذلك، أخطرت Barts Health الجهات التنظيمية، وطلبت أمراً من المحكمة العليا لمنع المزيد من توزيع البيانات، وحثت الأفراد المتضررين على تدقيق فواتيرهم والبقاء يقظين تجاه محاولات الاحتيال. يعمل الصندوق مع وكالات الأمن السيبراني الوطنية وجهات إنفاذ القانون، ويعد بتدابير حماية جديدة مع مورديه لمنع تكرار الحادثة.