L'Ospedale universitario di Newark, nel New Jersey, è stato vittima di un attacco ransomware. L'amministrazione ha pagato un riscatto di 672.744 dollari (61,90 bitcoin) per scongiurare la pubblicazione di 240 GB di dati rubati, comprese informazioni sensibili sui pazienti.

L'attacco è avvenuto nel corso del mese di settembre, tramite il ransomware Suncrypt. Come la stragrande maggioranza dei ransomware, ruba tutti i dati possibili dalla rete infetta, quindi procede a crittografare la copia in possesso dei legittimi proprietari. La firma è nell'estensione dei file crittografati, che in questo caso è una lunga stringa di caratteri casuali.

Il gruppo criminale dietro a questo attacco ha pubblicato 48.000 documenti rubati a titolo di minaccia. È a qual punto che un rappresentante dell'ospedale ha contattato i cyber criminali tramite il loro portale sul dark web per negoziare la somma da erogare per bloccare ulteriori pubblicazioni dei dati dei pazienti.

La storia si ripete

Il modello che è stato applicato non ha nulla di originale, è il classico schema dell'attacco con doppio riscatto: il primo per avere la chiave di decodifica e tornare in possesso dei dati, il secondo per scongiurare la diffusione di dati riservati. Le statistiche rivelano che sono di più le vittime che pagano il secondo obolo. Perché sono in possesso di copie di backup funzionanti quindi non occorre la chiave di decodifica. Oppure perché il danno d'immagine è un'eventualità da scongiurare a tutti i costi.


Al momento non ci sono indicazioni sul gruppo dietro all'attacco. Lo schema del doppio riscatto è applicato da diversi gruppi, così come la pubblicazione di parte dei dati per sollecitare i pagamenti. Quello che è noto è che con la pandemia uno dei gruppi dietro a SunCrypt aveva promesso di non attaccare più gli ospedali.

A marzo anche i criminali informatici dietro a CLOP, DoppelPaymer, Maze e Nefilim si erano ripromessi di non prendere di mira gli ospedali e di consegnare gratuitamente le chiavi di decodifica in caso di attacchi "per errore". Solo gli attaccanti che usano il ransomware Netwalker avevano dichiarato pubblicamente che non avrebbero cambiato le proprie politiche.

Tutto questo non salva nessuno dei cyber criminali. La situazione da marzo è cambiata, potrebbero esserlo anche le buone intenzioni. Bleeping Computer ha raccolto la testimonianza di prima mano sul fatto che la richiesta iniziale fosse di 1,7 milioni di dollari. I 670 mila dollari pagati sono quindi il frutto di un negoziato, e forse anche del fatto che i server crittografati sono stati solo due, non l'intera infrastruttura.

L'ingresso in rete

Anche la falla sfruttata dagli aggressori per irrompere in rete è un grande classico: un ignaro dipendente è caduto vittima di una truffa di phishing, e inavvertitamente ha fornito ai cyber criminali le sue credenziali di rete. Con queste, i criminali hanno acceduto al server Citrix dell'ospedale universitario. Con movimenti laterali hanno poi attaccato due dei server.

Conclusione

Questa vicenda, tristemente simile a decine di altre, lascia due principali insegnamenti. Il primo è che, come ribadito più volte, la sanità è troppo esposta agli attacchi informatici. Per troppo tempo la cyber security è stata sottovalutata, ora bisogna correre ai ripari per mettere in sicurezza le infrastrutture informatiche di ospedali e centri di ricerca.
Il fatto di cronaca oggetto di questa notizia riguarda gli Stati Uniti, ma sappiamo bene che episodi analoghi o simili si sono verificati anche in Italia e in Europa, dove addirittura un attacco di hacking ha causato indirettamente il decesso di una persona.

L'altro insegnamento è che le soluzioni di sicurezza informatica da sole non bastano. Occorre formazione ai dipendenti di tutti i livelli affinché riconoscano le potenziali minacce, e soprattutto affinché non si facciano trarre in inganno dal phishing. I messaggi sono talmente ben fatti che non è né facile né scontato riconoscere le truffe.