Sicurezza informatica: scoperto gruppo cybercriminale che punta aziende sanitarie e farmaceutiche


Sicurezza informatica: scoperto gruppo cybercriminale che punta aziende sanitarie e farmaceutiche

Potrebbe provenire dalla Russia la nuova minaccia informatica che prende di mira gli asset finanziari di aziende e compagnie farmaceutiche sparse in tutto il mondo. Lo rivela un rapporto pubblicato oggi dal colosso della sicurezza informatica FireEye, che individuando gli elementi comuni di una serie di campagne estorsive avvenute tra Stati Uniti, Canada, Germania e India, è convinta di poter attribuire gli episodi a un unico attore, identificato dal nome in codice Fin11. 

Come nel caso degli Apt (Advanced Persistent Threat, dall’inglese: minacce avanzate persistenti) anche i gruppi di tipo “Fin” sono accomunati dalle modalità d’attacco, gli strumenti utilizzati e altri dettagli volti a suggerire che dietro una serie di campagne cyber possano celarsi i medesimi attaccanti.

Così Fin11, considerati responsabili di una serie di attacchi “sempre più aggressivi” avvenuti negli ultimi due anni. L’arma prediletta è il ransomware: un particolare tipo di malware che cifra e rende inaccessibili tutti i contenuti digitali di un’infrastruttura informatica, pretendendo il pagamento di un riscatto (ransom), in cambio della chiave che potrebbe ripristinare l’operatività della realtà coinvolta. 

Tra i bersagli individuati dagli esperti di Mandiant - l’unità di ricerca delle minacce di FireEye - anche bersagli del settore sanitario e farmaceutico, almeno fino all’inizio del 2020: l’anno della pandemia di Covid-19. 

Al di fuori delle attività ricondotte a Fin11, questi primi dieci mesi del 2020 hanno visto il moltiplicarsi di operazioni condotte da cyber criminali ai danni di strutture sanitarie, più fragili date anche le condizioni d’emergenza dettate dalla pandemia. Il 9 settembre scorso l’Ospedale Universitario di Düsseldorf ha subito un attacco di tipo simile, che ne ha reso inservibili i sistemi informatici: l’episodio ha causato la morte di una paziente della quale era stato disposto il trasferimento d’urgenza in un’altra struttura. La vicenda è considerata la prima nota nella quale un attacco informatico ha materialmente causato la morte di un cittadino in un ospedale. 

«Fin11, una minaccia motivata da ragioni di lucro, ha condotto alcune delle più significative e lunghe operazioni di distribuzione di malware che Mandiant abbia mai osservato», si legge nel rapporto, che precisa anche la capacità del gruppo di adattare i propri strumenti in base alla risposta dei bersagli e delle iniziative di prevenzione. «Le più recenti operazioni di Fin11 hanno portato al furto di dati, l’estorsione e al danneggiamento delle infrastrutture delle vittime». 

Come osservato dagli esperti, Fin11 sembra aver fatto ricorso ai ransomware solo in tempi più recenti, allargando anche lo spettro dei potenziali bersagli e arrivando a richiedere riscatti fino a 10 milioni di dollari (8.5 milioni di euro).

Pressione pubblica
Una caratteristica significativa identificata dai ricercatori e attribuita a Fin11 è il fatto che il gruppo ricorra ampiamente a tecniche ibride, non solo prendendo il controllo dei sistemi del bersaglio e rendendoli inaccessibili, ma anche divulgando alcune informazioni in modo pubblico, così da aumentare la pressione su chi deve decidere se pagare. 

Ironicamente, il sito creato per divulgare le informazioni sottratte al bersaglio, così da aumentare la pressione sulle sue decisioni, si chiama Clop Leaks: riferimento al nome del ransomware utilizzato per condurre l’attacco stesso, ovvero Clop. In altre operazioni investigate da Mandiant, Fin11 ha sottratto e divulgato informazioni sottratte al bersaglio prima ancora di dispiegare il ransomware. 

I riscatti richiesti dal gruppo vanno dal centinaio di dollari fino a 10 milioni, ma sul sito Clop Leaks erano anche offerti servizi di consulenza contro le minacce informatiche, al costo di 21.92 bitcoin: 250mila dollari. 

L’ombra della CSI
Anche se è sempre difficile fornire un’attribuzione certa alla gran parte degli attacchi informatici, Mandiant afferma con «moderata convinzione» che gli attacchi potrebbero provenire da un Paese della Comunità degli Stati Indipendenti (il commonwealth dei Paesi un tempo appartenenti all’Unione Sovietica). A suggerire questa convinzione sono alcune righe di codice dei software utilizzati che riporterebbero caratteri in cirillico, così come il fatto che Fin11 è stato meno attivo in concomitanza con le feste del Natale Ortodosso e del Capodanno russo (che fanno riferimento al calendario giuliano). 

IT'S EASY

Cerchi una soluzione tecnologica per rispondere ad un bisogno della Tua Azienda?

Contattaci! Saremo lieti di progettarla assieme a Te.