Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Ospedali tremate! Arriva Ransomcortex. la gang ransomware che prende di mira le strutture sanitarie

RHC Dark Lab : 12 Luglio 2024 20:15

A cura di Pietro Melillo e Massimiliano Brolli

Recentemente, il panorama delle minacce informatiche si è arricchito con la comparsa di un nuovo gruppo ransomware denominato “Ransomcortex“. Questo gruppo si distingue per la sua specializzazione nell’attacco a strutture sanitarie, avendo già collezionato quattro vittime in pochi giorni dalla sua prima apparizione. Tra queste, tre sono strutture sanitarie brasiliane e una è canadese. La predilezione per gli attacchi al settore sanitario non è nuova, ma Ransomcortex rappresenta una significativa evoluzione di questa tendenza.

Il Contesto Storico

L’interesse dei criminali informatici per le organizzazioni sanitarie risale a diversi anni fa, ma negli ultimi tempi si è verificato un aumento significativo di questi attacchi. Uno dei primi casi di rilievo è stato nel 2016, quando l’ospedale Hollywood Presbyterian Medical Center a Los Angeles è stato colpito da un attacco ransomware che ha bloccato il sistema informatico dell’ospedale, richiedendo un riscatto di 17.000 dollari in bitcoin per ripristinare l’accesso ai file critici dei pazienti.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Questo incidente sollevò l’allarme sulla vulnerabilità delle organizzazioni sanitarie agli attacchi informatici e ha evidenziato la necessità di rafforzare le misure di sicurezza informatica nel settore sanitario.

Negli anni successivi, gli attacchi informatici contro le organizzazioni sanitarie sono diventati sempre più sofisticati e diffusi, con un’ampia varietà di minacce, tra cui ransomware, phishing, violazioni dei dati e attacchi mirati.

Nel 2020, durante la pandemia di COVID-19, gli attacchi informatici contro le strutture sanitarie sono aumentati ulteriormente. Ricordiamo l’attacco alla Vastaamo, una clinica di psicoterapia privata finlandese fondata nel 2008. Il 21 ottobre 2020, Vastaamo ha annunciato che il suo database dei pazienti era stato rubato. I pirati informatici avevano chiesto 40 bitcoin, all’epoca circa 450mila euro, minacciando di pubblicare i dati trafugati. L’azienda alla fine andò in bancarotta.

Sempre nel 2020 vogliamo ricordare l’attacco all’ospedale di Düsseldorf che comportò della morte di una donna di 78 anni affetta da un aneurisma aortico. Quello che era iniziata come una chiamata di routine ha preso una brutta piega quando hanno chiamato l’ospedale universitario locale per informare il personale del loro imminente arrivo scoprendo che era paralizzato da un attacco ransomware.

Successivamente le cyber gang criminali si divisero in due fazioni. Chi esplicitamente dichiarava di non colpire ospedali e aziende sanitarie e cliniche pediatriche e chi invece non aveva intenzione darsi delle regole come ad esempio la cyber gang Black Basta.

Un altro caso famoso riguarda Il gruppo di ransomware LockBit che dopo un attacco ad una struttura sanitaria, si è formalmente scusato per l’attacco all’ospedale per bambini malati (SickKids), affermando che uno dei suoi membri ha violato le regole attaccando l’organizzazione sanitaria e, pertanto, ha rilasciato gratuitamente un decryptor per l’ospedale.

Il Modus Operandi di Ransomcortex

A differenza di altri gruppi ransomware, Ransomcortex ha scelto di concentrare i suoi attacchi esclusivamente sulle strutture sanitarie. Questo focus mirato solleva domande su cosa guadagnino i criminali se le aziende non pagano i riscatti. La risposta risiede nella natura dei dati sanitari, che possono essere utilizzati per una vasta gamma di attività fraudolente:

  • Frodi Finanziarie: Utilizzo delle informazioni personali dei pazienti per aprire conti bancari, richiedere carte di credito o ottenere prestiti.
  • Estorsioni: Minacce di divulgazione di informazioni sensibili dei pazienti a meno che non venga pagato un riscatto.
  • Vendita al Mercato Nero: Vendita di informazioni mediche personali su mercati neri online.
  • Phishing e Truffe Online: Utilizzo dei dati per condurre attacchi di phishing mirati.
  • Furto di Identità: Creazione di false identità utilizzando le informazioni personali dei pazienti.

Il Data Leak Site di Ransomcortex

Il data leak site di Ransomcortex offre ulteriori dettagli sulle loro operazioni e intenzioni.

  1. Advertising e Reclutamento:
  1. Ransomcortex offre ricompense in dollari a chiunque possa fornire assistenza fisica per aiutare le aziende a effettuare pagamenti in grandi città.
  2. Il gruppo cerca team per azioni fisiche, stalker, osinter e “swatter”.
  3. Non richiedono di conoscere l’identità dei collaboratori; l’importante è l’efficacia nel portare i dollari.
  4. Contatti:
  1. Forniscono diversi metodi di contatto, tra cui Tox, email e Session ID.
  2. Specificano chiaramente che non permettono lavori contro determinate nazioni come Russia, CIS, Cuba, Corea del Nord, Iran e Cina.
  3. Non accettano lavori su aziende che hanno già effettuato pagamenti.
  4. FAQ:
  1. Dichiarano di operare solo per scopi finanziari, non per ideali politici.
  2. Il loro focus principale è fornire soluzioni e mediazione per individui di alto livello e piccole e medie imprese.
  3. Affermazione che Ransomcortex non ha mai fornito e non fornisce Ransomware as a Service (RaaS); tutto il software di crittografia utilizzato è di terze parti.

L’Italia dovrebbe essere molto accorta a questa nuova minaccia

Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali non hanno una buona “postura cyber” la quale risulta da rivedere in modo profondo.

Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato. La Lista delle organizzazioni sanitare italiane colpite ogni anno aumenta, almeno dove ne conosciamo le rivendicazioni della PA e la lista si allunga ogni giorno un pochino di più.

Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica degli Ospedali come sicurezza nazionale. Tali infrastrutture critiche vengono bersagliate costantemente dal cybercrime le quali devono essere protette per garantire la salute delle persone, uno tra i diritti fondamentali della nostra costituzione.

Conclusioni

Ransomcortex rappresenta una nuova e pericolosa minaccia per il settore sanitario. La loro specializzazione e il loro focus esclusivo sulle strutture sanitarie, insieme alla sofisticazione delle loro operazioni, richiedono un’urgente risposta da parte delle organizzazioni sanitarie e delle autorità competenti. È essenziale implementare misure di sicurezza avanzate e rimanere vigili per proteggere i dati sensibili e garantire la continuità delle operazioni sanitarie.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006