Chiara Nardini : 10 Novembre 2023 10:33
Un altro ospedale italiano oggi è stato colpito dal ransomware. La banda di criminali informatici di Rhysida, rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’azienda ospedaliera universitaria integrata di Verona.
Ancora non sappiamo con precisione se tali dati siano di proprietà dell’azienda, in quanto non è ancora presente all’interno del sito web alcun comunicato stampa relativo all’accaduto.
Dal post pubblicato dalla cybergang, i criminali informatici riportano che tra 6 giorni i dati dell’azienda verranno pubblicati nelle underground e incentivano altri criminali informatici all’acquisto dei dati dell’azienda violata. Infatti all’interno del loro DLS riportano quanto segue:
Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011 per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber
Supporta RHC attraverso:
Con soli 7 giorni a disposizione, cogli l'opportunità di fare offerte su dati esclusivi, unici e impressionanti. Apri i tuoi portafogli e preparati ad acquistare dati esclusivi. Vendiamo solo ad una mano, nessuna rivendita, sarai l'unico proprietario!
Rhysida pubblica una serie di samples per dimostrare la corretta violazione delle infrastrutture IT dell’azienda. Si tratta di esami di laboratorio di pazienti, Informazioni di malattie metaboliche dei pazienti e altri file XLS contenenti dati che al momento non riusciamo a comprendere.
Questo, come sanno i lettori di RHC, avviene quando ancora non è stato definito un accordo per il pagamento del riscatto richiesto da parte dei criminali informatici. In questo modo, minacciando la pubblicazione dei dati in loro possesso, aumenta la pressione verso l’organizzazione violata, sperando che il pagamento avvenga più velocemente.
Come spesso riportiamo, l’accesso alle Darknet è praticabile da qualsiasi persona che sappia utilizzare normalmente un PC. Questo è importante portarlo all’attenzione in quanto molti sostengono il contrario, spesso nei comunicati dopo la pubblicazione dei dati delle cybergang ransomware e tali informazioni sono pubblicamente consultabili come fonti aperte.
Come nostra consuetudine, lasciamo spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali hanno un” postura cyber” da rivedere in modo profondo.
Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato.
La Lista delle organizzazioni sanitare colpite, dove ne conosciamo le rivendicazioni della PA si allunga sempre di più giorno dopo giorno:
Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica a livello di sicurezza nazionale di queste infrastrutture. Tali infrastrutture vengono continuamente bersagliato dal cybercrime e che devono essere protette per garantire la salute delle persone.
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
Rhysida è un gruppo ransomware relativamente nuovo che opera come RaaS (Ransomware-as-a-Service). Il ransomware ha la particolarità di utilizzare LibTomCrypt, una libreria crittografica che consente agli aggressori di sfruttare metodi di crittografia robusti e uno sviluppo rapido.
Rhysida sembra essere scritto in C++ e compilato tramite MinGW; i payload che ho trovato sono di dimensioni piuttosto ingombranti (± 1,20 MB) probabilmente a causa delle librerie collegate.
Come già riportato, infatti, questo ransomware include la libreria crittografica open source LibTomCrypt che è in grado di fornire supporto per l’implementazione di diverse funzioni crittografiche e, più in generale, di permettere al ransomware di operare attraverso metodi crittografici efficaci. È anche possibile che gli autori di Rhysida abbiano apprezzato il fatto che LibTomCrypt sia scritto in C e quindi possa essere facilmente integrato.
Rhysida ransomware si presenta come un malware con una logica piuttosto semplice e in alcuni casi poco ottimizzata nel suo codice (in diversi casi alcuni costrutti vengono immediatamente ripetuti nel codice presentando le stesse condizioni logiche).
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009