Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia

Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle “città criptate”: in breve era in corso e, incredibilmente lo è tutt’ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l’FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L’ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie.

Un breve riepilogo
– La strage texana di Agosto >> leqqi qui
– Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?
L’ondata di attacchi ransomware ancora in corso indica una nuova strategia dei cyber criminali: colpire non l’utente privato, dal quale sicuramente si può ricavare una modesta somma di denaro, ma “mirare alto” verso istituzioni pubbliche, ospedali e scuole (principalmente) per potere chiedere riscatti esorbitanti. E che la scelta sia stata intelligente (per i cyber criminali purtroppo) è dimostrato dai dati:

L’ammontare medio dei riscatti richiesti dopo un attacco ransomware, infatti, è quasi raddoppiato nel secondo trimestre di quest’anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi.

Per approfondire >> I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

E’ ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende e le istituzioni pubbliche necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali e, in caso delle PA, problemi amministrativi e perfino di ordine pubblico.

Gli ultimi, gravissimi, episodi
Facciamo una breve carrellata degli ultimi attacchi, che vedono ancora protagonista il famigerato ransomware Ryuk (tutt’ora non risolvibile, con casi rarissimi di possibilità di recupero dei dati. Solo una solida soluzione di backup ben collaudata permette il recupero dei file in caso di infezione).

1. Ospedale in Alabama paga il riscatto dopo attacco da ransomware.
Tre ospedali del gruppo DCH in Alabama hanno deciso di pagare il riscatto per il ransomware Ruyk al fine di ricevere dai cyber attaccanti il tool per la decriptazione e ottenere di nuovo il controllo dei propri sistemi e file. Il gruppo DCH infatti include il DCH Regional Medical Center, il Northport Medical Center e il Fayette Medical Center in West Alabama’s Tuscaloosa, Northport e Fayette, tutti colpiti il primo Ottobre da un attacco coordinato del ransomware Ryuk: tutte e tre le strutture sono state costrette a sospendere le attività ambulatoriali e posticipare le operazioni chirurgiche a causa dell’impossibilità di accedere e recuperare i dati dei pazienti. E’ andato in blocco anche l’intero sistema di pagamento.

Nella nota rilasciata lo scorso fine settimana, il gruppo ha fatto sapere di essere riuscito a recuperare una parte dei dati e a ripristinare i sistemi dai backup, ma di aver pagato il riscatto per ottenere il tool al fine di ripristinare l’accesso ad altri sistemi criptati, ma comunque necessari per l’attività quotidiana delle strutture. Nella nota non è stata rivelata l’entità del riscatto, ma DCH conferma di essere riuscita a decriptare molteplici server criptati.

2. Ospedale in California chiude i battenti dopo attacco ransomware.
La notizia precedente segue di pochi giorni l’annuncio ufficiale, addirittura, della chiusura del Wood Ranch Medical, un ospedale californiano colpito agli inizi di Agosto da Ruyk: la struttura ha annunciato che chiuderà i propri uffici il 17 Dicembre in conseguenza della massiva perdita dei dati dei pazienti. “Sfortunatamente i danni ai nostri sistemi computerizzati sono stati tali da renderci impossibile il recupero dei dati e, poiché anche i nostri backup sono stati criptati, non possiamo ricostruire i nostri record medici” fanno sapere nella nota ufficiale.

3. Sette ospedali e diverse strutture sanitarie australiane sotto attacco
Sette dei più importanti ospedali e molteplici strutture sanitarie nella regione Victoria in Australia sono stati obbligati ad arrestare completamente alcuni dei propri sistemi o a passare alle operazioni manuali a causa di una virulenta infezione ransomware che ha colpito i loro sistemi IT. Oltre alle normali operazioni medico / sanitarie è stata completamente bloccata anche la gestione finanziaria.

Lo shut down di alcuni sistemi e l’isolamento degli stessi si è reso necessario per bloccare l’infezione: tra questi sono stati arrestati alcuni sistemi contenenti i dati dei pazienti, le prenotazioni e i sistemi di gestione. Solo poche strutture sono riuscite a mantenere inalterate le operazioni, passando alla modalità manuale: carta e penna. Anche in questo caso, le infezioni sono dovute al ransomware Ryuk.

Gli U.S.A approvano legislazione ad hoc in risposta ai dilaganti attacchi ransomware
Meno di due settimane fa il Senato degli Stati Uniti ha approvato il ‘DHS Cyber Hunt and Incident Response Teams Act’, una legge per autorizzare il Dipartimento di Sicurezza Nazionale (DHS) ad organizzare e mantenere team di cyber “cacciatori” e esperti di sicurezza IT per individuare i cyber attaccanti e aiutare sia gli enti pubblici che i privati a difendersi dai ransomware e da altri tipi di cyber attacchi. Il team di risposta fornirà consiglio e supporto tecnico in dettaglio su come migliorare le proprie difese e rafforzare i sistemi IT contro ransomware e altre tipologie di malware molto diffuse. I due team saranno finanziati a livello federale.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy