Ancora ransomware, ancora città, ospedali, aziende criptate. Qualche tempo fa avevamo tratteggiato un vero e proprio salto di qualità nella diffusione dei ransomware, sopratutto del ransomware Ryuk: non solo pubbliche amministrazioni, ma anche vari "colpi grossi" contro ospedali e scuole. Nonostante le leggi federali e statali emanate appositamente negli Stati Uniti per arginare il fenomeno, gli attacchi non sono affatto cessati. E anzi, si registra un nuovo attacco che ha colpito una istituzione molto importante, il Brooklyn Hospital. Ma arrivano brutte notizie anche dall'Europa, con due gravi attacchi ransomware in Spagna.
1. Il Brooklyn Hospital perde(irrimediabilmente) i dati dei pazienti in un attacco ransomware
Un attacco ransomware ha colpito i sistemi computerizzati del Brooklyn Hospital Center di New York, causando la perdita PERMANENTE dei dati dei pazienti. I tecnici hanno provato a recuperare i dati, senza successo: questo indica che il riscatto non è ancora stato pagato ai cyber attaccanti.
L'attacco risale allo scorso Luglio, ma l'ospedale ha reso noto l'incidente soltanto la scorsa settimana, una volta concluse le indagini sull'attacco. L'annuncio specifica come tutti i tentativi di recuperare i dati abbiamo avuto esito negativo: non tutti i dati sono stati colpiti, ma non viene rivelato il numero esatto dei record compromessi. Si sa soltanto che i dati non più recuperabili includono informazioni sensibili come nome e cognome dei pazienti e perfino immagini diagnostiche dentistiche e cardiologiche. Non ci sono prove invece, continua la nota dell'ospedale, che i dati siano stati esfiltrati dai sistemi e usati per fini illegali. Non viene specificato neppure il tipo di ranomware che ha colpito la struttura, ma molti ricercatori sospettano sia la vecchia conoscenza Ryuk, capostipe degli attacchi ransomware a istituzioni, ospedali e scuole.
Ciò che si può dedurre tra le righe della nota è che il Brooklyn Hospital Center non fosse dotato di un valido ed efficace sistema di backup.
2. Spagna sotto attacco: colpiti radio e provider
Come detto, le brutte notizie provengono anche dal continente europeo, dove, fino ad oggi, non v'erano stati molti episodi che potessero confermare che anche qui, sia in corso quell'evoluzione che ormai è così chiara negli Stati Uniti: ovvero colpire aziende ed istituzioni per massimizzare i profitti, chiedendo riscatti che nessun home user, piccola azienda/libero professionista potrebbe permettersi di pagare.
Sotto attacco sono finiti Everis, uno dei più grandi managed service provider della nazione e la più grande stazione radio spagnola, Cadena SER (Sociedad Española de Radiodifusión). Everis non ha ancora confermato con un comunicato ufficiale l'attacco, ma Bleeping Computer è entrata in possesso della nota di riscatto racapitata ad Everis: i sistemi della società sono stati colpiti e bloccati dal ransomware BitPaymer. Inoltre si hanno riscontri di comunicazioni interne della Everis, nelle quali il team di cyber sicurezza, annunciando l'attacco in corso alle reti aziendali, invitava tutti i dipendenti a spegnere immediatamente i pc. Nella comunicazione si invitavano perfino i dipendenti a comunicare in qualsiasi forma ai colleghi le disposizioni, perchè l'attacco ha reso difficili anche le comunicazioni interne. Il file criptati sono stati tutti "contrassegnati" dall'estensione .3v3r1s. Il riscatto richiesto ammonta a 750.000 euro.
 |
| Fonte: bleepingcomputer.com |
Il canale radio Cadena SER invece è stato colpito da un ransomware ancora ignoto: stiamo parlando di un attacco ransomware che ha messo offline i sistemi della più grande stazione radio della Spagna. SER ha pubblicato questa mattina un comunicato ufficiale con l'annuncio dell'attacco, spiegando che il ransomware si è diffuso su tutti i sistemi computerizzati dell'azienda. La stazione ha dovuto quindi disconnettere tutti i sistemi da Internet e, ad ora, riesce a continuare parte dell'attività solo grazie alle strumentazioni della sede centrale di Madrid. La radio sta tentando di procedere al recupero dei file senza pagare il riscatto, grazie anche supporto dell'INCIBE, l'Instituto Nacional de Ciberseguirdad.
Attacchi agli MPS: possibili attacchi a monte
Gli attacchi ransomware contro provider stanno diventando sempre più ricorrenti perchè offrono ai cyber attaccanti uno strumento utile per diffondere ulteriormente e su larga scala i propri malware: parliamo dei software di gestione dei vari MPS. Nel caso dell'attacco a Everis sono già molti i ricercatori di sicurezza che mettono in guardia i clienti del provider, i cui sistemi infetti potrebbero divenire la fonte di nuovi e ulteriori attacchi. La società telefonica Orange ad esempio, ha già escluso Everis da tutti gli accessi alla rete proprio per prevenire eventuali attacchi ransomware contro la propria rete.
BlueKeep potrebbe essere l'exploit usato nell'attacco
BleepingComputer ha fatto sapere di aver avuto conferma, da una fonte molto vicina ad una delle due vittime spagnole, che l'exploit BlueKeep potrebbe essere stato usato come vettore per uno degli attacchi.
Per approfondire >> Vulnerabilità critica nel RDP di Windows: picco di scansioni online in cerca di potenziali vittime da parte dei cyber criminali
La notizia, se non confermata, è comunque verosimile perchè sono stati effettivamente registrati tentativi di exploit con BlueKeep nell'honeypot del ricercatore Kevin Beaumont, che ha lasciato esposta proprio la porta 3389 usata per le connessioni di assistenza remota tramite Remote Desktop Protocol (RDP).
Per approfondire >> Vulnerabilità critica nel RDP di Windows: picco di scansioni online in cerca di potenziali vittime da parte dei cyber criminali
La notizia, se non confermata, è comunque verosimile perchè sono stati effettivamente registrati tentativi di exploit con BlueKeep nell'honeypot del ricercatore Kevin Beaumont, che ha lasciato esposta proprio la porta 3389 usata per le connessioni di assistenza remota tramite Remote Desktop Protocol (RDP).
Baumont ha inoltre scoperto che sono centinaia i server di Everis esposti direttamente ad Internet, anche questo elemento che potrebbe confermare l'impiego di BlueKeep nell'attacco al provider.
Nessun commento:
Posta un commento