Gli esperti di sicurezza avvertono che le vittime degli attacchi di ransomware DEVONO cambiare tutte le password

Quando un'organizzazione è colpita da ransomware, molte persone tendono a pensare che l'unica cosa di cui preoccuparsi sia il ripristino dei dati il più rapidamente possibile. All'inizio di questa settimana, tuttavia, il reporter di cybersecurity Brian Krebs ha raccontato la storia di un attacco di ransomware a un fornitore di servizi IT che si chiama Virtual Care Provider Inc. (VCPI) e, nel processo, ci ha mostrato quanti altri fattori entrano in gioco gioca quando gli hacker tengono in ostaggio i dati di altre persone.

Dovremmo probabilmente iniziare con il fatto che VCPI fornisce servizi a oltre 100 case di cura e strutture sanitarie in 45 stati. Non dovrebbe essere troppo difficile vedere che interrompere l'infrastruttura IT di una tale azienda potrebbe essere abbastanza devastante, ma la reale entità del pericolo non diventa evidente fino a quando non si osserva come si è sviluppato l'attacco.

È stato notato per la prima volta nelle prime ore del mattino del 17 novembre quando gli aggressori hanno lanciato il ransomware Ryuk sulla rete di VCPI. Poco dopo, tutti i dati ospitati dal fornitore di servizi cloud sono stati crittografati e al VCPI è stato detto che può avere la chiave che sblocca i file se paga uno sbalorditivo valore di $ 14 milioni di bitcoin. È un riscatto piuttosto grande, ma poi di nuovo, così è la quantità di dati che è stata tenuta in ostaggio.

L'attacco ha avuto un impatto orribile su VCPI e sui suoi clienti

I clienti di VCPI hanno perso l'accesso a qualsiasi cosa, dall'email, attraverso i sistemi telefonici e di fatturazione, alle operazioni sui salari. Le registrazioni dei pazienti erano inaccessibili e alcuni medici non erano in grado di effettuare ordini per farmaci vitali a causa dell'attacco, il che significava che per alcuni pazienti l'infezione da ransomware avrebbe potuto avere conseguenze fatali. Pochi giorni dopo l'incidente, Karen Christianson, CEO di VCPI, ha dichiarato a Brian Krebs che la sua azienda non ha le risorse per pagare il riscatto e che l'attacco potrebbe benissimo significare la fine del business dell'hosting dei dati.

Tuttavia, le previsioni iniziali non si sono materializzate. Sebbene i clienti di VCPI abbiano riscontrato problemi significativi a seguito dell'attacco, il provider di hosting è riuscito a ripristinare i dati. Probabilmente nel tentativo di limitare la quantità di danni da PR subiti da VCPI, Karen Christianson ha chiesto a Brian Krebs di scrivere un rapporto di follow-up su come la compagnia si è ripresa. Krebs accettò di programmare un'intervista, ma poco dopo la data e l'ora concordate, ricevette un'e-mail che attirò immediatamente la sua attenzione.

L'estensione dell'infiltrazione diventa evidente

Il messaggio ha preteso di provenire da un membro del gruppo di hacker che ha attaccato VCPI, che, almeno per Brian Krebs, non è poi così insolito. La richiesta dell'email, tuttavia, era piuttosto strana. Il truffatore chiese a Krebs di ricordare al CEO di VCPI che l'offerta di sconto sul riscatto stava per scadere.

Il presunto operatore di ransomware si era in qualche modo reso conto dell'intervista programmata e Krebs dubitava che questa conoscenza fosse basata su congetture. Il reporter della cybersecurity pensava che oltre al ransomware, gli hacker avessero usato altri strumenti che avevano permesso loro di accedere ai sistemi e alle comunicazioni interne di VCPI. Krebs ha chiamato gli esperti di Hold Security e ha chiesto loro di aiutarlo a comprendere meglio la portata del compromesso.

Abbastanza presto, l'indagine ha prodotto prove del fatto che l'infrastruttura di VCPI è stata infiltrata per la prima volta nel settembre 2018, molto probabilmente con l'uso di un documento di Word dannoso intrecciato con istruzioni macro. Il documento di Word ha scaricato Emotet, una famiglia di malware nota per le sue funzionalità simili a worm che gli consentono di spostarsi lateralmente all'interno di una rete.

Gli hacker hanno intrapreso una corsa al furto di password prima di distribuire il ransomware Ryuk

Dopo aver utilizzato Emotet per stabilire un punto d'appoggio all'interno della rete di VCPI, i truffatori hanno schierato Trickbot, un trojan bancario acclamato per la sua versatilità e potenti capacità di furto di credenziali. Gli esperti di Hold Security sono persino riusciti a intercettare alcune comunicazioni tra truffatori, il che suggerisce che durante l'attacco VCPI, nomi utente e password per ben 300 siti Web e fornitori di servizi online sono stati compromessi. Questi includevano piattaforme di gestione delle password, portali bancari, di fatturazione e di gestione stipendi, servizi di gestione delle prescrizioni e di forniture mediche, conti di spedizione e affrancatura, ecc. Brian Krebs ha portato le prove durante l'intervista con Karen Christianson, e sebbene VCPI non l'abbia ammesso ufficialmente, il fatto che l'intervista sia terminata bruscamente poco dopo suggerisce che il CEO non aveva assolutamente idea del furto.

Per un po 'di tempo, gli operatori di ransomware si sono concentrati sulle organizzazioni piuttosto che sugli utenti finali. Non stiamo più parlando di sceneggiatori che cercano di rovinare un po 'e fare soldi. Gli attacchi più recenti sono eseguiti da sofisticati equipaggi di hacking che hanno un sacco di strumenti e risorse a loro disposizione e, a volte, l'implementazione del ransomware è solo una piccola parte dell'intera operazione. Organizzazioni come VCPI devono imparare che gli hacker possono colpire su molti fronti diversi e che i dati di accesso sono spesso il frutto proverbiale e basso. Ecco perché, come ha concluso Brian Krebs nel suo rapporto, la modifica delle password dovrebbe essere in cima alla lista delle priorità per qualsiasi azienda che ha subito un attacco informatico, indipendentemente dal fatto che l'incidente abbia coinvolto o meno il ransomware.