Ransomware, ospedali e uffici pubblici: campagna di attacchi mirati in corso

Campagna di Attacchi mirati in corso

Ancora ransomware: nonostante non siano più da considerarsi la prima minaccia informatica, continuano a mietere vittime. Abbiamo qua selezionato alcuni diversi episodi, afferenti allo stesso ransomware, che riguardano enti di rilevanza pubblica, come gli ospedali o le sedi di alcune Istituzioni. Il ransomware in questione è SamSam, che sembra aver avuto un grande inizio anno, colpendo diversi obiettivi di alto profilo come ospedali, un consiglio comunale e una società di ICS (Industrial Control System).

La campagna

Questo ransomware ha colpito l'Hancock Healt Hospital in Indiana, l'Adams Memorial Hospital, sempre in Indiana, la municipalità di Farmington in New Mexico, il provider di EHR (electroninc heal records) in cloud Allscripts e una società statunitense di ICS non nominata. Un flagello. In tre di questi il ransomware ha criptato i file e mostrato quindi un messaggio con la parola "sorry": la municipalità di Farmington ha pubblicato una schermata di riscatto.

Gli aggressori hanno guadagnato quasi 300.000 $ da questa campagna. L'indirizzo del portafoglio Bitcoin utilizzato per questerichiesta di riscatto ha ricevuto la sua prima transazione il 25 Dicembre. L'account detiene attualmente 26 Bitcoin, del valore di quasi $ 300.000. Molto probabilmente, la banda ha colpito molte più vittime e guadagnato molti più soldi.

L'FBI ha chiesto da tempo alle aziende e agli individui colpiti dal ransomware di segnalare eventuali infezioni tramite il portale IC3, in modo da poter capire meglio la minaccia e avere supporti legali per indagare su tali gruppi di cyber-criminali.

Il ransomware

Il ransomware Samsam, conosciuto anche come Samas, è un ransomware personalizzabile, usato da più cyber criminali per attacchi mirati. Infatti la nota di riscatto e l'estensione aggiunta ai file criptati varia da caso a caso. In comune tutte le versioni hanno la modalità di attacco: si esegue una scansione in Internet in cerca di computer con le connessioni RDP aperte quindi si fa irruzione nella rete con un attacco di brute-force, così si riesce a diffondere il ransomware in più computer. Una volta che i cyber criminali hanno una presenza sufficientemente forte sulla rete, implementano SamSam e attendono che la società paghi il riscatto o li stacchi dalla loro rete.

La versione usata in questo attacco utilizza come nota di riscatto il file "0000-SORRY-FOR-FILES.html" e ha infettato almeno otto enti dal 26 Dicembre. La maggior parte delle vittime proviene dagli Stati Uniti, ma alcune provengono dal Canada e dall'India. Alcune vittime hanno segnalato file criptati con l'estensione .weapologize, ma la maggior parte delle vittime ha segnalato criptazioni con l'estensione .sorry.

Gli incidenti

1. Hancock Health Hospital di Greenfield

Un ospedale dell'Indiana ha pagato un riscatto di 55.000 $ per sbarazzarsi del ransomware che aveva infettato i suoi sistemi e stava ostacolando le operazioni. L'infezione è iniziata Giovedì 11 Gennaio, quando gli aggressori hanno violato la rete dell'Hancock Health, un ospedale regionale nella città di Greenfield, nell'Indiana. Le operazioni e il funzionamento dell'intero ospedale sono state colpite immediatamente. Lo staff IT è intervenuto e ha bloccato l'intera rete, chiedendo ai dipendenti di spegnere tutti i computer per evitare che il ransomware si diffondesse su altri PC.I pazienti hanno continuato a ricevere assistenza presso la sede dell'ospedale, ma il personale medico e amministrativo ha continuato il proprio lavoro utilizzando carta e penna invece dei computer.

L'ospedale, nonostante fosse in possesso dei backup, ha optato per pagare il riscatto di 4 Bitcoin, circa 55.000 $ al momento del pagamento, il Sabato mattina successivo. La direzione dell'ospedale ha dichiarato che il ripristino dei backup non era una soluzione, in quanto ci sarebbero voluti giorni e forse anche settimane per far funzionare tutti i sistemi. Hanno quindi deciso di pagare il riscatto perché più veloce. Entro Lunedì tutti i sistemi erano attivi e funzionanti: l'ospedale ha rilasciato una breve dichiarazione sul suo sito dove ammette l'incidente, ma con pochissimi altri dettagli.

2. La municipalità di Farmington

In questo caso SamSam ha criptato, quindi bloccato, l'intera rete. La nota di riscatto richiedeva 3 Bticoin, circa 35.000 dollari, ma la municipalità è riuscita a ripristinare i dati senza pagare il riscatto. Secondo un comunicato stampa diffuso dalla Municiplaità stessa nessuna informazione personale di cittadini o dipendenti è stata compromessa dall'attacco: inoltre non è stato violato il sistema operativo di nessuna utility elettrica e non c'è stata interruzione dei servizi di sicurezza pubblica. Neppure i sistemi di posta elettronica della città sono stati compromessi. Sono invece stati interrotti alcuni servizi (il pagamento delle bollette elettroniche ad esempio).

Questa storia dovrebbe rappresentare un campanello di allarme per le aziende che hanno endpoint con le connessioni RDP aperte. Queste macchine dovrebbero essere protette con una password forte e unica al fine di rendere più difficoltoso un attacco di brute force.