Ascesa della nuova versione del Ransomware Knight negli ospedali

Image in image block

Il mondo è allarmato da una serie di Attacchi ransomware portati avanti da Ransomware. Solo nel mese di aprile, ci sono state 26 segnalazioni di attacchi a ospedali e ad altre organizzazioni, come la casa d'aste Christie's. Gli ospedali di Londra hanno dovuto interrompere le trasfusioni di sangue e gli interventi chirurgici a causa di questi attacchi.

Che cos'è Ransomhub? Si tratta di una versione aggiornata del programma ransomware Knight. All'inizio del 2024, il codice sorgente di Knight è stato messo in vendita sul dark web. Il nuovo proprietario(o forse lo stesso proprietario) ha migliorato il programma e ora lo offre come Ransomware-as-a-Service (RaaS). Questo servizio attira attivamente gli affiliati. Molti ex utenti di Lockbit stanno passando a Ransomhub, perché l'attività di Lockbit è stata di recente fortemente colpita dalle forze dell'ordine. La persona dietro Lockbit rimane latitante e attiva.

Settore dell'assistenza sanitaria sotto tiro

In passato, diverse operazioni RaaS hanno dichiarato che gli attacchi al settore sanitario erano inaccettabili, soprattutto durante la pandemia. Tuttavia, recentemente, Ransomhub ha preso di mira le istituzioni sanitarie e i loro fornitori.

Doppia estorsione: Oltre al tradizionale modello di business del Ransomware, in cui viene richiesto un riscatto per ripristinare l'accesso ai dati crittografati, i criminali ora utilizzano anche il metodo della "doppia estorsione". Prima rubano i dati e poi minacciano di venderli o renderli pubblici.

Più veloce di prima: La rapida crescita e lo sviluppo di questo nuovo servizio RaaS suggeriscono che Ransomhub giocherà un ruolo significativo nel mondo dei cybercriminali. Questo è preoccupante perché il tempo che intercorre tra l'accesso iniziale e la distribuzione del Ransomware sta diventando sempre più breve.

Laricerca mostra che dal 2023, in più della metà dei casi il ransomware viene distribuito entro una settimana. In un terzo dei casi, avviene entro 48 ore. La maggior parte dei ransomware viene attivata al di fuori dell'orario di lavoro, spesso la mattina presto.

Metodi utilizzati

Come è comune negli Attacchi ransomware, l'accesso iniziale avviene spesso attraverso credenziali ottenute tramite phishing o spearphishing. Pertanto, è essenziale che la sua organizzazione si concentri costantemente sulla consapevolezza della cybersecurity dei suoi dipendenti, ad esempio attraverso il programma SAFE.

Gli hacker installano malware e sempre più spesso anche software di accesso remoto. Si pensi a programmi come TeamViewer, VNC, Atera e Splashtop. Inoltre, sfruttano spesso le vulnerabilità note della rete interna.

Quali vulnerabilità note?

Non possiamo mai sapere esattamente cosa stanno cercando di fare gli affiliati del Ransomware. Ma in base alla nostra ricerca, possiamo indicare cosa va regolarmente storto nella Cybersecurity nell'assistenza sanitaria. Gli stessi attaccanti a volte forniscono consigli, come si vede nell'immagine qui sotto.

Image in image block

Esempio di messaggio degli aggressori

Spesso gli hacker ottengono prima l'accesso a un singolo sistema o account all'interno della rete interna. Successivamente, gli intrusi accedono ad altri sistemi e account della rete, ad esempio sfruttando:

  • Password deboli e mancanza di autenticazione a più fattori.
  • Le cosiddette "sessioni nulle" che a volte sono consentite dai sistemi della rete, permettendo un accesso limitato ai contenuti del sistema senza credenziali di accesso.
  • Un cosiddetto attacco "NTLM relay", in cui i tentativi di login legittimi possono essere sfruttati da un aggressore per ottenere l'accesso ad altri sistemi.
  • Porte e servizi di rete che sono necessari solo per gli amministratori, ma che spesso sono disponibili o utilizzabili anche da dipendenti non amministrativi.
  • Sistemi nella rete interna che non sono aggiornati e che contengono vulnerabilità critiche note che possono essere sfruttate, come zerologon.

Passo successivo: Ottenere i privilegi più elevati

Una volta ampliato l'accesso alla rete, spesso diventa possibile ottenere privilegi estesi o addirittura massimi all'interno dell'ambiente attraverso attacchi come:

  • Sfruttare una configurazione errata in Active Directory (i cosiddetti modelli ADCS che sono standard in un ambiente AD), consentendo all'aggressore di ottenere immediatamente i privilegi più elevati nell'ambiente.
  • Ottenere account con privilegi elevati attraverso attacchi kerberoasting, consentendo all'aggressore di recuperare la password del rispettivo account con privilegi elevati.
  • Leggere le password o gli hash delle password dalla memoria di un computer con diritti amministrativi , scaricando le credenziali degli utenti che hanno effettuato l'accesso di recente. Sui sistemi server, questo in genere produce account di amministratore con privilegi elevati, in quanto sono gli unici account che accedono a tali sistemi.

Raccomandiamo alle organizzazioni sanitarie di prestare maggiore attenzione ai problemi di cui sopra, per tenere a bada gli attori maligni nel breve termine.

Come può aiutare Secura?

Bureau Veritas Cybersecurity utilizza un approccio basato sul rischio per valutare la vulnerabilità della sua organizzazione agli Attacchi ransomware: il Ransomware Resilience Assessment. Sulla base dei rischi identificati e classificati, forniamo consigli pratici per migliorare la sua Cyber resilience.

Per saperne di più sul nostro Ransomware Resilience Assessment, clicchi qui.

ANCHE DI SUO INTERESSE

Monitoraggio del dark web

Dark Web Monitoring

Rilevamento di credenziali di accesso rubate, entrambe in grado di fornire un accesso iniziale alla rete dell'organizzazione colpita.

Programmi di awareness/phishing.

Phishing Awareness Program Secura

La formazione dei dipendenti utilizza un metodo scientificamente provato che non si limita alla sensibilizzazione, ma porta a un cambiamento comportamentale.

Prova di penetrazione interna

Why you need more than a classical pentest External Attack Surface Management

Se qualcuno riesce ancora ad entrare, cosa è possibile fare e dove sono i punti deboli? Questa indagine verifica, tra l'altro, i risultati critici di questo articolo.

Maggiori informazioni

Desidera maggiori informazioni sull'aumento della resilienza contro il ransomware? Compili il modulo e la contatteremo entro un giorno lavorativo.

USP

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.