Negli ultimi anni, gli attacchi ransomware hanno raggiunto livelli senza precedenti nel settore sanitario, mettendo a rischio milioni di persone. Recentemente, UnitedHealth ha rivelato che 190 milioni di americani hanno subito il furto dei loro dati personali e sanitari durante un attacco ransomware a Change Healthcare, una cifra che raddoppia quasi il totale precedentemente divulgato. Questo episodio sottolinea quanto profondamente il ransomware possa infiltrarsi nei sistemi critici, compromettendo la fiducia e la cura dei pazienti.

Il gruppo di ransomware Interlock

Un gruppo noto per colpire questo settore già fragile è il gruppo di ransomware Interlock. Questo gruppo è conosciuto per i loro attacchi calcolati e sofisticati, che prendono di mira ospedali, cliniche e altri fornitori di servizi medici. L'Interlock è un nuovo ma pericoloso attore nel mondo del crimine informatico, noto per impiegare tattiche di doppia estorsione. Questo metodo comporta la crittografia dei dati delle vittime per interrompere le operazioni e la minaccia di divulgare informazioni sensibili se le richieste di riscatto non vengono soddisfatte. La loro motivazione principale è il guadagno finanziario e i loro metodi sono studiati per massimizzare la pressione sui loro obiettivi.

Caratteristiche principali dell'Interlock

Tra le loro caratteristiche principali troviamo la sofisticazione, l'uso di tecniche avanzate come phishing, aggiornamenti software falsi e siti web malevoli per ottenere l'accesso iniziale. Inoltre, mostrano una persistenza notevole, rimanendo inosservati per lunghi periodi, il che amplifica il danno che possono causare. Una volta all'interno di una rete, si muovono rapidamente lateralmente, rubando dati sensibili e preparando i sistemi per la crittografia. Le richieste di riscatto sono attentamente calibrate in base al valore dei dati rubati, in modo da impostare importi che le vittime sono propense a pagare.

Nel 2024, l'Interlock ha preso di mira numerose organizzazioni sanitarie negli Stati Uniti, esponendo informazioni sensibili sui pazienti e interrompendo gravemente le operazioni. Tra le vittime figurano il Brockton Neighborhood Health Center, il Legacy Treatment Services e il Drug and Alcohol Treatment Service.

Metodo di attacco

Il loro attacco inizia con un metodo strategico e altamente ingannevole noto come compromissione drive-by, che consente al gruppo di ottenere l'accesso iniziale ai sistemi presi di mira sfruttando utenti ignari, spesso attraverso siti di phishing attentamente progettati.

Una volta violati i sistemi iniziali, inizia la fase di esecuzione, durante la quale i malintenzionati distribuiscono payload maligni o eseguono comandi dannosi sui dispositivi compromessi, preparando il terreno per il controllo completo della rete della vittima. Spesso i ransomware Interlock camuffano i loro strumenti malevoli come aggiornamenti software legittimi per ingannare gli utenti.

Prevenzione e protezione

Per proteggersi dagli attacchi ransomware, soprattutto nel settore sanitario, è essenziale un rilevamento precoce. Strumenti come il Sandbox di ANY.RUN consentono ai team sanitari di identificare minacce come l'Interlock nelle prime fasi della catena di attacco, fornendo informazioni utili per prevenire le violazioni dei dati prima che si verifichino.