A pochi giorni dalla notizia della morte di una paziente come conseguenza diretta di un attacco ransomware (è ad ora in corso un' indagine per omicidio colposo avviata dalla Procura di Colonia), gli attacchi ransomware contro ospedali e fornitori di servizi sanitari non si fermano. Anzi, la situazione sta peggiorando.
La nuova vittima d'eccellenza è il provider di servizi sanitari Universal Health Service (UHS): il gigante della sanità statunitense ha dichiarato pubblicamente di essere stato costretto allo shut down dei sistemi di tutti gli ospedali negli Stati Uniti in seguito ad un cyber attacco che ha colpito la rete aziendale all'alba di Domenica scorsa (27 Settembre 2020). Per rendersi conto del contesto, UHS gestisce oltre 400 tra ospedali e ambulatori negli Stati Uniti e nel Regno Unito, conta oltre 90.000 dipendenti e assiste più di 3.5 milioni di pazienti ogni anno. 11.4 miliardi di dollari il profitto annuale dichiarato, che pone UHS tra le prime 500 aziende di Fortune.
L'attacco è iniziato durante la notte ed ha riguardato sicuramente gli ospedali UHS in California, Florida, Texas, Arizona, Washington D.C che si sono ritrovati senza accesso ai computer e ai sistemi telefonici. Ad ora e tutt'ora, gli ospedali UHS stanno dirottando le ambulanze e ricollocando i pazienti in altre strutture nei dintorni.
I dipendenti raccontano che, quando è iniziato l'attacco, sono state arrestate dagli attaccanti più
Il ransomware Ryuk responsabile dell'attacco
Ieri, Lunedì 28 Settembre, UHS ha pubblicato una dichiarazione, molto striminzita, confermando l'attacco subito e dichiarando di aver già attivato il ripristino dei sistemi tramite i backup. Ha anche (incredibilmente) dichiarato che i dati di pazienti e dipendenti, né alcuna proprietà intellettuale sono stati violati.
Le informazioni tecniche provengono principalmente dai dipendenti, alcuni dei quali hanno raccontato l'attacco su Reddit. E' dalle loro testimonianze che nasce il sospetto che dietro a questo attacco, che si espande per tutti gli Stati Uniti, vi sia il ransomware Ryuk: i dipendenti raccontano come i nomi dei file siano stati rimodificati e come vi sia stata aggiunta l'estensione di criptazione .ryk, già conosciuta e usata appunto da Ryuk. Un altro dipendente racconta come abbia notato una modifica dello sfondo del desktop: uno dei computer infetti, sul quale stava lavorando, ha improvvisamente mostrato una nota di riscatto nella quale era visibile la frase "Shadow of the Univers", dicitura spesso già notata nelle note di riscatto di Ryuk.
Il ricercatore di sicurezza Vitali Kremez ha fatto sapere a Bleeping Computer che all'origine dell'attacco dovrebbe essere un attacco di phishing.
Sempre Kremez ha fatto sapere di riscontri, nella rete aziendale UHS, della presenza dei trojan Emotet e TrickBot: il primo sembra presente nella rete da tutto il 2020, mentre la presenza di TrickBot è molto più recente e risale a questo mese. Inutile dire come entrambi potrebbero avere aperto le porte della rete di UHS a Ryuk, dato che da lungo tempo collaborano con vari ransomware, ai quali garantiscono libero accesso tramite backdoor. In dettaglio, il trojan Emotet viene diffuso via email di phishing contenenti un allegato dannoso che installa il malware sul computer della vittima. Trascorso un intervallo variabile di tempo, Emotet installa anche TrickBot il quale, alla fine, apre una reverse shell agli operatori di Ryuk.
Gli operatori di Ryuk quindi potrebbero aver ottenuto manualmente l'accesso alla rete, verificato di essere entro la rete giusta, quindi proceduto alla raccolta delle credenziali per diffondersi ulteriormente in rete e iniziare a raccogliere informazioni.
Se le modalità di attacco non sono ancora del tutto certe, una cosa è difficilmente smentibile: i dati di pazienti e dipendenti sono stati rubati. Danno si aggiunge al danno.
Nessun commento:
Posta un commento