L'ANALISI TECNICA

Maui, chi è e come agisce la gang ransomware nordcoreana che ha colpito gli ospedali USA

Non si fermano gli attacchi cyber tramite ransomware. Questa volta le vittime designate sono stati gli ospedali statunitensi per mano di criminal hacker nordcoreani appartenenti alla cyber gang Maui. Ecco tutti i dettagli

01 Ago 2022
S
Marco Santarelli

Esperto in Network Analysis, Critical Infrastructures, Big Data and Future Energies

Un’operazione congiunta di FBI e Dipartimento di Giustizia USA ha recentemente bloccato le attività malevole di Maui, un gruppo APT (Advanced Persistent Threat) finanziato dal governo nordcoreano che stava attaccando gli ospedali USA tramite ransomware.

Il riscatto per il recupero dei dati ammontava a mezzo milione di dollari, come dichiarato da Lisa Monaco, viceprocuratore generale. Tutte le vittime di attacchi sono state esortate a denunciare il crimine per dare un supporto alle indagini e per recuperare i pagamenti dei riscatti.

In occasione della Conferenza internazionale sulla sicurezza informatica, ospitata dalla Fordham University, Lisa Monaco ha sottolineato che “se segnalate l’attacco, se segnalate la richiesta di riscatto e il pagamento, se collaborate con l’FBI, possiamo agire […] Possiamo seguire il denaro e recuperarlo; possiamo aiutare a prevenire il prossimo attacco, la prossima vittima; e possiamo ritenere i criminali informatici responsabili”.

È proprio quello che è successo, per esempio, a un ospedale del Kansas che ha subito un cybercrime nel 2021. A seguito del pagamento del riscatto richiesto dai criminal hacker, l’ospedale ha chiesto l’intervento dell’FBI: il pagamento è stato rintracciato, i riciclatori di denaro con sede in Cina a supporto dei nordcoreani sono stati identificati ed è stato recuperato mezzo milione di dollari, somma comprendente anche l’intero pagamento del riscatto dell’ospedale.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Maui: il ransomware che prende di mira gli ospedali

Il 2021 è stato un anno caratterizzato da una forte diffusione di attacchi ransomware, soprattutto mirati a grandi obiettivi: basti ricordare il caso della Colonial Pipeline, l’oleodotto che ha dovuto interrompere l’attività per sei giorni, tornando in funzione solo dopo il pagamento di cinque milioni di dollari di riscatto agli autori dell’attacco ransomware.

WHITEPAPER
Le fasi del mining: stabilire un obiettivo e la criptovaluta. Scopri di più
Blockchain
Criptovalute

Ora i cyber criminali si stanno orientando verso entità più piccole da colpire come, appunto, gli ospedali e Maui è la nuova variante del ransomware mirata proprio alle organizzazioni sanitarie pubbliche.

Se, inizialmente, il ransomware era utilizzato in particolare da criminali informatici allo scopo di estorcere ingenti somme di denaro, oggi sono i governi che ne sfruttano le potenzialità con il solo obiettivo distruttivo, come dichiarato dal direttore dell’FBI Christopher Wray.

Nel terzo trimestre del 2021 il 30% degli attacchi ransomware alla sanità pubblica è stata gestita da Conti, un’associazione criminale privata probabilmente con base in Russia, secondo quanto riportato da BreachQuest, società di cyber security.

Il caso della Corea del Nord mette in luce la nuova tendenza che coinvolge i governi contro le organizzazioni sanitarie, dopo che a giugno l’FBI ha rivelato di aver sventato un attacco proveniente dall’Iran a un ospedale pediatrico di Boston.

Secondo Sophos, società di sicurezza informatica, gli attacchi ransomware alle organizzazioni sanitarie sono cresciuti del 94% dal 2021 al 2022 e rappresentano il 41% di tali attacchi a livello globale. Questi cybercrime hanno comportato gravi interruzioni all’assistenza sanitaria, inclusi ritardi in trattamenti chemioterapici e dirottamenti di ambulanze, a seguito del blocco delle attività dei sistemi informatici.

Il Guardian ha riportato una causa intentata dalla madre di un bambino morto in Alabama proprio per “morte per ransomware”, dato che il decesso è avvenuto per danno cerebrale fatale al neonato dopo un guasto ai monitor della frequenza cardiaca.

Le possibili conseguenze devastanti per le strutture mediche potrebbero essere una delle ragioni per cui i criminal hacker le hanno identificate come un obiettivo di alto profilo. Secondo la Cybersecurity and Infrastructure Security Agency (CISA), “gli attori informatici sponsorizzati dallo Stato nordcoreano presumono probabilmente che le organizzazioni sanitarie siano disposte a pagare riscatti perché forniscono servizi critici per la vita e la salute delle persone”.

Negoziatori di ransomware, un nuovo business nel mondo cyber: chi sono, come agiscono

Ransomware: il nuovo ruolo dei negoziatori

Il ransomware Maui non si ferma al blocco del sistema, ma esfiltra informazioni e minaccia di rilasciarle. L’attacco che ha colpito l’ospedale del Kansas citato in precedenza risale a maggio 2021 e per recuperare i dati ha dovuto sborsare circa 100.000 dollari in Bitcoin. In quell’occasione, il Dipartimento di Giustizia USA ha recuperato anche il pagamento di un’azienda sanitaria del Colorado, colpita sempre dal ransomware Maui.

Abbiamo già visto qualche tempo fa che la grande diffusione dei ransomware sta costringendo sempre di più le aziende a prendere accordi con i criminal hacker attraverso negoziatori che si occupano di mediare i pagamenti di riscatto.

Si tratta di specialisti della cyber security che si mettono in contatto con i cyber criminali oppure effettuano i pagamenti in criptovalute.

Tutto è iniziato dalla GroupSense Inc., che monitora forum e chat del Dark Web per scoprire quando i criminal hacker mettono in vendita l’accesso alle reti informatiche delle aziende.

Una società, credendo di essere stata presa di mira dai criminali, si è rivolta a GroupSense per mediare la richiesta di oltre un milione di dollari di riscatto per decriptare i dati interni che erano stati crittografati tramite ransomware e sono riusciti ad accordarsi per 200.000 dollari.

Da quel momento, la GroupSense ha iniziato a prendere in carico altre richieste simili, in particolare da studi legali e compagnie assicurative delle vittime di cyber attacchi.

Oltre l’80% delle indagini coinvolge il ransomware, rispetto a circa la metà di qualche anno fa, ma effettuare pagamenti di riscatto non significa necessariamente che le aziende siano in grado poi di sbloccare i loro dati.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5