Il termine Ransomware deriva da "Ransom" (riscatto) e "Malware".
Quindi: un malware che chiede un riscatto.
Tecnicamente sono Trojan horse crittografici ed hanno come unico scopo l'estorsione di denaro, attraverso un "sequestro di file", realizzato mediante la cifratura che rende i file inutilizzabili.
In pratica il malware cripta i file del nostro computer (o del nostro server), rendendoli illeggibili.
Poi viene richiesto un riscatto per restituirci i file.
È, a tutti gli effetti, un sequestro di dati a scopo di estorsione.
L'organizzazione che subisce questo attacco si troverà quindi con i sistemi informatici bloccati ed inutilizzabili. Con l'inevitabile arresto della propria operatività.
E questo downtime può essere anche di settimane, fino a che l'organizzazione non sarà stata in grado di ripristinare i propri dati. Ovviamente a condizione di possedere un backup dei dati integro e funzionante!.
In questi ultimi anni sono stati sempre più numerosi gli attacchi ransomware ad aziende in tutto il mondo: Garmin (richiesta di riscatto 10 milioni di dollari), University of California San Francisco (1,14 milioni di dollari pagati per il riscatto), Norsk Hydro, Telecomm Argentina, United Health Services (USA), Barnes & Noble, Foxconn, Randstad, le città di Atlanta e Baltimora (USA), Duesseldorf University Hospital (Germania), Canon, ENEL, Manchester United Football Club, Accenture, la famosa Boeing.
Addirittura, nell'attacco al Duesseldorf University Hospital (settembre 2020) una donna è morta a causa dell'impossibilità di essere assistita, perché l'ospedale era bloccato dal ransomware. Questo rappresenta il primo caso noto di morte direttamente collegata ad un attacco informatico.
Attacchi ransomware in Italia
Abbiamo registrato molti casi anche in Italia. Ne citiamo alcuni, ma l'elenco potrebbe essere ben più lungo: Campari (2019, riscatto richiesto 16 milioni), Bonfiglioli (2019), Zambon (2020), Geox, Luxottica, Agenzia Territoriale per la Casa di Torino (2021), Comune di Brescia (2021). Fino al caso clamoroso della Regione Lazio, colpita ad inizio agosto 2021.
Colpite anche molte aziende sanitarie: AULSS 6 Euganea di Padova (fine 2021), ASL Abruzzo 1 Avezzano, Sulmona, L’Aquila (maggio 2023), Azienda USL di Modena (novembre 2023), Synlab Italia (aprile 2024).
Nell'immagine sotto mostriamo lo screenshot realizzato sul sito del darkweb del gruppo cybercriminale Monti. Nonostante il nome sembri italiano, è di matrice russa, come la maggior parte delle gang ransomware:
Attacco ransomware ASL 1 Abruzzo
L'ASL Abruzzo 1 è stata colpita da questo attacco nel maggio 2023. Tutti i suoi servizi sono stati bloccati per oltre un mese. Inoltre, 522 GB di dati sensibili, cioè cartelle cliniche dei pazienti dell'ASL 1 sono stati pubblicati sul dark web a disposizione di chiunque li voglia scaricare (dal link in rosso).
L'attacco contro Synlab Italia
In questa altra immagine vediamo quello che è accaduto a Synlab Italia nell'aprile-maggio 2024. Stessa dinamica: attacco ransomware con blocco totale dell'operatività e successiva pubblicazione di circa 1,5 TB di dati sensibili.
Attacco ransomware SYNLAB Italia
SYNLAB Italia è parte del gruppo Synlab, un'azienda europea leader nella fornitura di servizi di diagnostica medica con sedi in oltre 30 nazioni.
In Italia è presente in molte regioni con Laboratori, Punti Prelievo e Centri Polidiagnostici con più di 35 milioni di analisi effettuate ogni anno.
Vediamo dall'immagine come questi laboratori erano chiusi, con un avviso scritto frettolosamente a mano da qualcuno: "Attacco Hacker". A sinistra il comunicato pubblicato da Synlab Italia sui suoi profili social.
Come denunciato dalla stessa azienda in quei giorni:
SYNLAB è stata vittima di un attacco informatico di tipo ransomware. L'attacco informatico subito ha inoltre comportato la sottrazione illecita (c.d. esfiltrazione) di dati conservati da SYNLAB, da parte di una organizzazione cybercriminale di matrice russa denominata "Black Basta".
La richiesta di riscatto da parte di "Black Basta"
I cyber-criminali hanno chiesto a SYNLAB un riscatto, minacciando, in caso di mancato pagamento, la pubblicazione dei dati rubati. A maggio 2024 i cyber-criminali hanno poi diffuso nel dark web i dati sottratti.
L'attacco è avvenuto nelle prime ore del 18 aprile 2024 e ha reso necessario lo spegnimento di tutti i computer per evitare ulteriori danni.
Synlab Italia ha quindi sospeso tutti i suoi servizi di diagnostica e analisi medica nei 380 laboratori e centri medici che gestisce in tutta Italia. I cartelli affissi nelle sedi dei laboratori Synlab (vedi figura sopra) segnalavano ai clienti questa sospensione.
La cyber gang Black Basta ha rivendicato l'attacco ransomware contro Synlab, affermando di aver sottratto 1,5 TB di dati, inclusi dati aziendali, documenti personali dei dipendenti, dati personali dei clienti e analisi mediche.
Come prova della violazione, il gruppo ha pubblicato immagini di passaporti, carte d'identità e analisi mediche. Tra le immagini, è presente un elenco delle cartelle esfiltrate, alcune delle quali portano il nome di esami medici.
Il gruppo Black Basta aveva fissato la data per la pubblicazione dei dati rubati per l'11 maggio 2024, se la vittima non avesse pagato il riscatto. È il modello tipico di attacco a doppia estorsione.
Synlab Italia ha dichiarato di non aver ceduto all'estorsione.
Quindi i dati esfiltrati a Synlab sono sicuramente finiti sul dark web, in parte disponibili per chiunque li volesse scaricare (attenzione a farlo: è un reato!) e forse venduti al miglior offerente.
Qual è stato il vettore dell'attacco ransomware contro Synlab Italia?
Quello a Synlab Italia è stato un classico attacco ransomware, con – in questo caso - la caratteristica più rilevante della doppia estorsione, conseguente all'esfiltrazione di dati molto sensibili, quali sono tipicamente i dati sanitari.
Sebbene Synlab non abbia fornito dettagli sulla dinamica dell'attacco, possiamo supporre che il vettore d'attacco sia quello usato abitualmente da Black Basta (ogni gruppo cyber criminale ha il suo "modus operandi" tipico e caratteristico): l'attacco inizia con una infezione da QBot (un tipico malware precursore, che innesca l'attacco) proveniente da email di phishing.
Tali email in genere contengono collegamenti URL malevoli che indirizzano su siti Web compromessi.
Gli attaccanti utilizzano poi lo strumento di post-esploitation Cobalt Strike per prendere il controllo della macchina e infine distribuire il ransomware BlackBasta.
Quindi è molto probabile che anche in questo caso la prima causa dell'attacco sia imputabile ad un errore umano, un utente che ha fatto click sul link "sbagliato".
Questa premessa ci fa capire che oggi i ransomware sono un attacco informatico che può avere un impatto molto pesante sull'organizzazione che lo subisce. E questo impatto, oltre all'inevitabile blocco dell'operatività, può generare anche danni pesanti sul piano commerciale (clienti che subiscono disservizi) e reputazionale (dati sensibili pubblicati).
