Attacco informatico all’Azienda Ospedaliera di Alessandria. Ragnar Locker: “sostituire tutto il personale IT”

Avevamo riportato recentemente che gli attacchi agli ospedali, sono in incremento e che anche le polizze cyber stanno iniziando ad essere complicate da quantificare, quando si tratta di infrastrutture vitali per un paese dove a rischio sono le vite delle persone.

Ed infatti, questa volta ad essere colpito è l’ennesimo ospedale italiano.

Si tratta dell’Azienda Ospedaliera di Alessandria ad essere colpita dallla cyber gang Ragnar Locker. Ma a differenza di altri attacchi informatici, i criminali non hanno crittografato nulla, ma riportano una situazione catastrofica nella gestione delle infrastrutture IT dell’ospedale.

Attacco informatico all’azienda ospedaliera di Alessandria

Questa volta, almeno questi criminali informatici, hanno avuto (per quello che si può dire) una “particolare etica”, in quanto hanno sostenuto quanto segue:

“il nostro team non adotterà mai misure che possono mettere a rischio la vita o la salute delle persone. Il nostro obiettivo sono solo le aziende, che non si preoccupano della privacy dei dati personali che raccolgono e archiviano”

Ma come spesso abbiamo riportato su queste pagine, la situazione “opesdali”, è drammatica e occorre fare qualcosa, in quanto i primi incidenti che vedono delle vite umane perse per un attacco ransomware, iniziano a farsi vedere.

Le raccomandazioni di Ragnar Locker

Ragnar Locker, riporta inoltre che “qualsiasi raccomandazione sulla sicurezza sarà inutile in questo caso. Il nostro consiglio è di sostituire l’intero personale IT e sottoporlo a test di competenza e controllarli anche per lo spreco di budget.”

Inoltre sempre la Gang riporta che l’azienda non si è nemmeno accorta della violazione, sostenendo che: “Abbiamo chiesto informazioni sull’incidente ad alcuni dipendenti durante le telefonate, ma hanno risposto di non aver visto nessuna violazione informatica. Pertanto, è stato chiesto loro di rivedere le prove in Live Chat e abbiamo ripetutamente cercato di chiarire che centinaia di migliaia di dati personali sono stati compromessi a causa della loro negligenza.”

Di seguito riportiamo l’intero post pubblicato da Ragnar Locker, che risulta interessante leggere nella sua interezza, per comprendere lo stato della sicurezza informatica dei nostri ospedali italiani.

In questo caso particolare vorremmo dire alcune parole.

Prima di tutto, abbiamo utilizzato la politica di "crittografia zero file", quindi nulla è stato crittografato nella rete di "AOAL". Tuttavia, dovremmo dire che abbiamo ottenuto l'accesso completo, assolutamente ovunque, letteralmente a ogni macchina virtuale. 

Inoltre, nemmeno 130 amministratori di dominio sono stati in grado di impedire la fuga di circa 1 TB di dati. Se qualcun altro fosse in questa rete, ciò porterebbe a conseguenze disastrose, tutte le istituzioni mediche potrebbero essere paralizzate e ciò significherebbe il collasso totale.

Ma il nostro team non adotterà mai tali misure, che possono mettere a rischio la vita o la salute delle persone. Il nostro obiettivo sono solo le aziende, che non si preoccupano della privacy dei dati personali che raccolgono e archiviano.

Inoltre, dobbiamo dire che qualsiasi raccomandazione sulla sicurezza sarà inutile in questo caso. Il nostro consiglio è di sostituire l'intero personale IT e sottoporlo a test di competenza e controllarli anche per lo spreco di budget.

Anche dopo aver lasciato i file readme, siamo comunque stati in grado di vedere attraverso il desktop remoto, come gli amministratori leggono semplicemente le note che abbiamo lasciato senza intraprendere alcuna azione per proteggere il perimetro. Hanno solo cercato di coprire l'incidente ma il rimborso per negligenza dei dirigenti, come al solito, sarà pagato dai loro clienti invece che dai dipendenti incaricati.

Abbiamo anche chiesto informazioni sull'incidente ad alcuni dipendenti durante le telefonate, ma hanno risposto di non aver visto alcuna violazione. Pertanto, è stato chiesto loro di rivedere le prove in Live Chat e abbiamo ripetutamente cercato di chiarire che centinaia di migliaia di dati personali sono stati compromessi a causa della loro negligenza.

Puoi trovare nel link sottostante alcune prove: informazioni personali dei clienti, schede mediche, rapporti finanziari, rapporti dipartimentali e altro

L'intero volume di dati verrà pubblicato se la direzione di "AOAL" continuerà a ignorare questo problema e non si metterà in contatto con il nostro team.

Cosa è stato esfiltrato dalle infrastrutture IT dell’ospedale

La cyber gang riporta anche dei samples che possono essere visionati direttamente sul loro DLS nella rete onion. Si tratta du ben 37GB che sono stati esfiltrati dalla rete dell’azienda ospedaliera, anche se al momento ne sono stati resi scaricabili solo il 5%.

Si tratta di differenti informazioni personali dei clienti, schede mediche, rapporti finanziari, rapporti dipartimentali e molto altro ancora.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Nel caso in cui l’azienda ospedaliera voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo sulle nostre pagine per dare risalto alla questione.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Il ransomware Ragnar Locker

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Scoperti inizialmente nell’aprile 2020, Ragnar Locker è una banda criminale che opera nella Ransomware as a Service (RaaS).

La cyber gang è stata sotto il radar dell’FBI da quando sono state violate 52 organizzazioni in 10 settori di infrastrutture critiche. I settori che Ragnar Locker ha violato includono energia, produzione, servizi finanziari, governi e tecnologia dell’informazione.

La gang è nota per cambiare costantemente le proprie tecniche di offuscamento per evitare il rilevamento e la prevenzione, oltre a scoraggiare le organizzazioni dal contattare le forze dell’ordine dopo una violazione.

La banda lavora con diverse varianti del ransomware e con diversi attori delle minacce.

Ragnar Locker è noto per l’utilizzo della tattica della doppia estorsione, che coinvolge gli attori delle minacce che esfiltrano dati sensibili, quindi attivano l’attacco di crittografia. Infine, minacciano di far trapelare i dati se il riscatto richiesto non viene pagato.

Secondo i ricercatori di Acronis, per eludere il rilevamento, Ragnar Locker distribuisce una macchina virtuale (VM) VirtualBox con un’immagine di Windows XP, per eseguire l’attacco di crittografia ransomware (una tecnica adottata dagli operatori di ransomware Maze).

Ragnar Locker avvia i propri attacchi compromettendo le reti delle aziende tramite il servizio RDP, utilizzando la forza bruta per indovinare le password o utilizzando credenziali rubate acquistate sul dark web.

Dopo aver compromesso la rete del bersaglio, l’autore della minaccia eleva i propri privilegi che consente agli aggressori di eseguire codice arbitrario. Per sfruttare la vulnerabilità, l’autore dell’attacco esegue un’applicazione appositamente predisposta.

Successivamente, carica una VM VirtualBox che mappa tutte le unità locali come leggibili/scrivibili nella macchina virtuale. Di conseguenza, il processo ransomware è in grado di essere eseguito all’interno della VM per crittografare i file. I file host riconoscono la crittografia come un processo VirtualBox attendibile, il che significa che molti prodotti di sicurezza ignorano le attività del ransomware.

Successivamente, Ragnar Locker elimina le copie shadow e disabilita le contromisure antivirus, quindi utilizza uno script PowerShell per passare da una rete aziendale a un’altra prima che il ransomware venga distribuito.

Ragnar Locker ruba i file e li carica sui server prima di pubblicarli, nel caso in cui la vittima si rifiuti di pagare il riscatto richiesto. Le tecniche di offuscamento proteggono il codice ransomware e tali tecniche includono l’aggiunta di codice spazzatura oltre alla crittografia. Le informazioni locali vengono controllate per evitare che i paesi della CSI vengano infettati.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione