Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ospedali tremate! Arriva Ransomcortex. la gang ransomware che prende di mira le strutture sanitarie

RHC Dark Lab : 12 Luglio 2024 20:15

A cura di Pietro Melillo e Massimiliano Brolli

Recentemente, il panorama delle minacce informatiche si è arricchito con la comparsa di un nuovo gruppo ransomware denominato “Ransomcortex“. Questo gruppo si distingue per la sua specializzazione nell’attacco a strutture sanitarie, avendo già collezionato quattro vittime in pochi giorni dalla sua prima apparizione. Tra queste, tre sono strutture sanitarie brasiliane e una è canadese. La predilezione per gli attacchi al settore sanitario non è nuova, ma Ransomcortex rappresenta una significativa evoluzione di questa tendenza.

Il Contesto Storico

L’interesse dei criminali informatici per le organizzazioni sanitarie risale a diversi anni fa, ma negli ultimi tempi si è verificato un aumento significativo di questi attacchi. Uno dei primi casi di rilievo è stato nel 2016, quando l’ospedale Hollywood Presbyterian Medical Center a Los Angeles è stato colpito da un attacco ransomware che ha bloccato il sistema informatico dell’ospedale, richiedendo un riscatto di 17.000 dollari in bitcoin per ripristinare l’accesso ai file critici dei pazienti.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Questo incidente sollevò l’allarme sulla vulnerabilità delle organizzazioni sanitarie agli attacchi informatici e ha evidenziato la necessità di rafforzare le misure di sicurezza informatica nel settore sanitario.

    Negli anni successivi, gli attacchi informatici contro le organizzazioni sanitarie sono diventati sempre più sofisticati e diffusi, con un’ampia varietà di minacce, tra cui ransomware, phishing, violazioni dei dati e attacchi mirati.

    Nel 2020, durante la pandemia di COVID-19, gli attacchi informatici contro le strutture sanitarie sono aumentati ulteriormente. Ricordiamo l’attacco alla Vastaamo, una clinica di psicoterapia privata finlandese fondata nel 2008. Il 21 ottobre 2020, Vastaamo ha annunciato che il suo database dei pazienti era stato rubato. I pirati informatici avevano chiesto 40 bitcoin, all’epoca circa 450mila euro, minacciando di pubblicare i dati trafugati. L’azienda alla fine andò in bancarotta.

    Sempre nel 2020 vogliamo ricordare l’attacco all’ospedale di Düsseldorf che comportò della morte di una donna di 78 anni affetta da un aneurisma aortico. Quello che era iniziata come una chiamata di routine ha preso una brutta piega quando hanno chiamato l’ospedale universitario locale per informare il personale del loro imminente arrivo scoprendo che era paralizzato da un attacco ransomware.

    Successivamente le cyber gang criminali si divisero in due fazioni. Chi esplicitamente dichiarava di non colpire ospedali e aziende sanitarie e cliniche pediatriche e chi invece non aveva intenzione darsi delle regole come ad esempio la cyber gang Black Basta.

    Un altro caso famoso riguarda Il gruppo di ransomware LockBit che dopo un attacco ad una struttura sanitaria, si è formalmente scusato per l’attacco all’ospedale per bambini malati (SickKids), affermando che uno dei suoi membri ha violato le regole attaccando l’organizzazione sanitaria e, pertanto, ha rilasciato gratuitamente un decryptor per l’ospedale.

    Il Modus Operandi di Ransomcortex

    A differenza di altri gruppi ransomware, Ransomcortex ha scelto di concentrare i suoi attacchi esclusivamente sulle strutture sanitarie. Questo focus mirato solleva domande su cosa guadagnino i criminali se le aziende non pagano i riscatti. La risposta risiede nella natura dei dati sanitari, che possono essere utilizzati per una vasta gamma di attività fraudolente:

    • Frodi Finanziarie: Utilizzo delle informazioni personali dei pazienti per aprire conti bancari, richiedere carte di credito o ottenere prestiti.
    • Estorsioni: Minacce di divulgazione di informazioni sensibili dei pazienti a meno che non venga pagato un riscatto.
    • Vendita al Mercato Nero: Vendita di informazioni mediche personali su mercati neri online.
    • Phishing e Truffe Online: Utilizzo dei dati per condurre attacchi di phishing mirati.
    • Furto di Identità: Creazione di false identità utilizzando le informazioni personali dei pazienti.

    Il Data Leak Site di Ransomcortex

    Il data leak site di Ransomcortex offre ulteriori dettagli sulle loro operazioni e intenzioni.

    1. Advertising e Reclutamento:
    1. Ransomcortex offre ricompense in dollari a chiunque possa fornire assistenza fisica per aiutare le aziende a effettuare pagamenti in grandi città.
    2. Il gruppo cerca team per azioni fisiche, stalker, osinter e “swatter”.
    3. Non richiedono di conoscere l’identità dei collaboratori; l’importante è l’efficacia nel portare i dollari.
    4. Contatti:
    1. Forniscono diversi metodi di contatto, tra cui Tox, email e Session ID.
    2. Specificano chiaramente che non permettono lavori contro determinate nazioni come Russia, CIS, Cuba, Corea del Nord, Iran e Cina.
    3. Non accettano lavori su aziende che hanno già effettuato pagamenti.
    4. FAQ:
    1. Dichiarano di operare solo per scopi finanziari, non per ideali politici.
    2. Il loro focus principale è fornire soluzioni e mediazione per individui di alto livello e piccole e medie imprese.
    3. Affermazione che Ransomcortex non ha mai fornito e non fornisce Ransomware as a Service (RaaS); tutto il software di crittografia utilizzato è di terze parti.

    L’Italia dovrebbe essere molto accorta a questa nuova minaccia

    Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali non hanno una buona “postura cyber” la quale risulta da rivedere in modo profondo.

    Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato. La Lista delle organizzazioni sanitare italiane colpite ogni anno aumenta, almeno dove ne conosciamo le rivendicazioni della PA e la lista si allunga ogni giorno un pochino di più.

    Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica degli Ospedali come sicurezza nazionale. Tali infrastrutture critiche vengono bersagliate costantemente dal cybercrime le quali devono essere protette per garantire la salute delle persone, uno tra i diritti fondamentali della nostra costituzione.

    Conclusioni

    Ransomcortex rappresenta una nuova e pericolosa minaccia per il settore sanitario. La loro specializzazione e il loro focus esclusivo sulle strutture sanitarie, insieme alla sofisticazione delle loro operazioni, richiedono un’urgente risposta da parte delle organizzazioni sanitarie e delle autorità competenti. È essenziale implementare misure di sicurezza avanzate e rimanere vigili per proteggere i dati sensibili e garantire la continuità delle operazioni sanitarie.

    RHC Dark Lab
    RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

    Articoli in evidenza

    Italiani Nel Mirino: 464.508 Record Compromessi nei Forum underground in 2 giorni

    Negli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...

    La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto?

    Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...

    Quale Azienda Italiana Verrà Violata? In Vendita Accessi VPN e firewall aziendali nelle underground

    Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi...

    Ministero dell’Interno Italiano sotto attacco? Accessi email in vendita nei forum underground!

    Negli ultimi giorni, un utente del forum underground “BreachForums” ha pubblicato un annuncio riguardante la presunta vendita di accessi a caselle di posta elettronica appartenenti al Mi...

    Ora il Ransomware arriva per posta ordinaria! L’innovazione si firma Bianlian. Scopri i retroscena

    Negli Stati Uniti è stata individuata una nuova frode: i criminali inviano false richieste di riscatto via posta per conto del gruppo BianLian. Le buste indicano che il mittente è “BI...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006