L'ANALISI TECNICA

Sabbath: chi è e come agisce la gang che ha violato la sanità napoletana

È conosciuto con il nome Sabbath (o 54bb47h) il gruppo ransomware già da tempo attivo nel panorama cyber criminale della doppia estorsione e recentemente salito agli onori della cronaca per l’attacco all’ASL Napoli 3 Sud. Ecco un’analisi approfondita del suo modus operandi

18 Gen 2022
M
Luca Mella

Cyber Security Expert

Il gruppo cyber criminale Sabbath ha fatto la sua prima comparsa nel panorama cyber criminale delle double extortion a ottobre 2021, contestualmente all’apertura di un portale di pagamento ransomware e un data leak site con il medesimo nome scandito in linguaggio “leet”: 54BB47h.

In realtà, le origini di Sabbath si radicano ben più indietro. Le prime tracce di questo collettivo criminale sono infatti riconducibili a luglio 2020, ma con un altro nome. A quel tempo la gang si faceva chiamare “Eruption” e praticava attacchi ransomware tradizionali.

Dopo alcuni mesi di quiete, Eruption, riappare con un altro nome: Arcane. Sono i primi di giugno del 2021 e i cyber criminali avviano una nuova offensiva cibernetica verso USA e Canada. In diverse occasioni le intrusioni sono state veicolate tramite affiliati e initial access broker, terzisti che abitualmente si occupano del primo accesso alle infrastrutture bersaglio.

Il gruppo è altamente pericoloso e nel tempo ha dimostrato capacità di evolvere le sue operazioni da campagne di attacco ransomware tradizionali, alle moderne e redditizie pratiche criminali di doppia estorsione.

Loghi utilizzati dal gruppo cyber criminale Sabbath.

Sabbath: la sanità italiana nel mirino

I primi allarmi riguardanti attacchi alla sanità sono arrivati già fine giugno 2021: su di una serie di attacchi a scuole e strutture sanitarie negli Stati Uniti e in Canada aleggiava l’ombra dell’organizzazione criminale autrice delle operazioni di Sabbath.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!

L’accanimento verso questi settori è continuato anche a gennaio 2022, dove tra le vittime dell’organizzazione sono comparsi gli ennesimi istituti: questa volta un college californiano e una scuola pubblica del Connecticut, ma per quanto riguarda la sanità c’è stato un cambiamento. Ora il target è italiano.

Il 12 gennaio 2022 sui canali del gruppo criminale è infatti comparsa la rivendicazione dell’estorsione operata ai danni dell’ASL Napoli 3 Sud, azienda sanitaria pubblica competente sul territorio di 56 comuni parte della Città metropolitana di Napoli i cui disservizi sono stati alla ribalta delle cronache giornalistiche nei giorni antecedenti.

Rivendicazione dell’attacco alla ASL Napoli 3 Sud da parte del collettivo criminale Sabbath.

La rivendicazione è stata accompagnata da due elementi estremamente preoccupanti. In primis la prova del furto di dati.

Durante l’attacco pare che i criminali siano stati in grado di trafugare informazioni tecniche di alto valore, inclusi i dettagli infrastrutturali dei sistemi informatici dove appaiono menzionate oltre 240 macchine e 42 nodi di virtualizzazione in uso presso l’ente.

In aggiunta alle informazioni tecniche, i cyber criminali hanno inoltre rilasciato un primo pacchetto di dati per corroborare l’avvenuto furto: record medici, documenti finanziari, reclami e documenti interni sono strati violati.

Il secondo elemento di forte preoccupazione riguarda invece alcuni commenti tecnici che il gruppo criminale ha rilasciato. Sabbath ha infatti dichiarato che buona parte delle infrastrutture dell’ente erano protette dal team IT e da soluzioni di rilevamento intrusioni Cortex, tecnologia di difesa della americana Palo Alto Networks, quasi a indicare il fallimento totale dell’ente nell’implementazione delle security operations.

Una beffa che si aggiunge al danno dell’estorsione, ma chi conosce bene l’estrema difficolta che caratterizza la difesa del cyberspazio, specie negli ambienti sanitari, sa bene esser non altro che una vile provocazione.

Dettagli della rivendicazione di Sabbath in merito all’attacco all’ASL Napoli 3 Sud.

Metodi e tattiche di attacco

Sabbath utilizza tecniche di intrusione e set di strumentazione pressoché standard per gli operatori delle doppie estorsioni, kit di attacco con exploit 1-day e impianti malware con capacità avanzate come il celebre Cobalt Strike. Ma attenzione: attribuire al fraseggio “equipaggiamento standard” l’accezione di “meno pericoloso” è un errore fatale.

E lo è ancor di più con il gruppo criminale Sabbath.

Parte dei campioni malware recuperati durante le doppie estorsioni che Sabbath ha finalizzato con successo presentano una particolarità: il componente beacon dell’impianto Cobalt Strike utilizzato risultava preconfigurato dal gruppo stesso, protetto con uno dei più potenti packer di sempre: Themida.

Themida è uno strumento legittimo per proteggere il codice eseguibile di applicativi e software, è da sempre una delle “bestie nere” nelle community di reverse engineering e il suo abuso nel mondo del malware è molto problematico per sistemi di difesa e analisti umani.

Il gruppo criminale Sabbath utilizza un particolare strumento di cifratura ransomware battezzato con il nome di “Rollcoast”, in virtù delle somiglianze con il precedente cifratore “Tycoon” utilizzato dal medesimo gruppo prima del rebranding e dell’adozione delle pratiche di doppia estorsione.

Osservando le esclusioni configurate all’interno del codice del ransomware Rollcoast ci sono interessanti peculiarità che offrono la sponda a profonde riflessioni.

Pubblicati dati dell’ASL di Napoli e dell’ULSS di Padova: difendiamo la Sanità dal rischio cyber

Gli stati “esclusi” dagli attacchi della gang Sabbath

A parte le esclusioni dei soliti Stati nazionali dell’area CIS di influenza Russa, a dir poco classici in parecchi dei codici malevoli criminali, sono menzionate anche nazioni in regioni asiatiche come India, Pakistan e Malesia. Benché agli occhi occidentali queste nazioni appaiano lontane, rappresentano in realtà un punto di caratterizzazione: come registrato dal portale “doubleextortion.com”, questi Stati rientrano infatti tra i bersagli di vari gruppi cyber criminali e non è affatto raro imbattersi in estorsioni mirate proprio ad aziende operanti in queste aree geografiche, come ad esempio l’indiana Rossell Techsys, parte della supply chain per la produzione degli MH-60R, celeberrimi multiruolo di Lockheed Martin.

Rimane quindi aperto un grande interrogativo: come mai il gruppo criminale preferisce rinunciare a bersagli in queste particolari e proficue regioni?

Questo però non è nemmeno il più pressante degli interrogativi su questo nuovo e particolare gruppo ransomware. Nella lista di esclusioni pubblicata da Mandiant a fine 2021 sono presenti anche Stati Est-Europei membri della NATO come Albania, Croazia, ma anche alcune nazioni parte dell’Unione Europea, in particolare Norvegia, Svezia e persino Germania.

L’ipotesi che il gruppo utilizzi infrastrutture e supporti in queste nazioni non è da escludere, ma è bene essere cauti, l’interrogativo su queste particolare scelte strategiche del gruppo criminale è davvero profondo.

Stati esclusi dalle configurazioni ransomware del gruppo Sabbath.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2