I timori di violazione dei dati LabCorp erano infondati. È stato un attacco di ransomware.
Laboratory Corporation of America Holdings o LabCorp ha 60 mila dipendenti in tutto il mondo, aiuta con studi clinici in quasi 100 paesi ed elabora circa 2,5 milioni di test di laboratorio ogni settimana. Ciò significa che LabCorp gestisce e archivia dati potenzialmente molto sensibili relativi alla salute di milioni di persone. Come puoi immaginare, quando la società ha annunciato di aver rilevato "attività sospette" sulla sua rete IT, le reazioni non sono state esattamente positive. Le persone erano sinceramente spaventate dalle loro informazioni sulla salute. A quanto pare, non avevano molto di cui preoccuparsi.
La notizia è scoppiata lunedì quando la società ha presentato un deposito di 8 K presso la Securities and Exchange Commission. Il documento non diceva molto a parte il fatto che durante il fine settimana, alcuni computer e server di LabCorp agivano in modo insolito. Sebbene l'archiviazione suggerisca che il team IT dell'azienda non aveva idea di cosa stessero trattando in quel momento, molti sistemi sono stati chiusi per prevenire danni reali.
Ieri CSO ha riportato ulteriori dettagli sull'attacco. Apparentemente, a mezzanotte del 13 luglio, gli hacker hanno iniziato i loro tentativi di infiltrarsi nella rete di LabCorp forzando brutalmente le credenziali di accesso al protocollo desktop remoto (RDP). Alle 18:00 del 14 luglio erano arrivati e hanno lasciato cadere il loro carico utile, una varietà di ransomware nota come SamSam.
Le buone notizie
Ovviamente, un attacco informatico non può mai essere una buona notizia, soprattutto per l'organizzazione a cui si rivolge, ma in questo caso, siamo abbastanza sicuri che sia i dipendenti che i pazienti LabCorp abbiano emesso un sospiro di sollievo quando hanno appreso che la rete del laboratorio era stata colpita da ransomware.
L'alternativa era un malware che ruba ed espone i dati dei pazienti che avrebbero potuto avere conseguenze devastanti. Dopo aver esaminato attentamente le prove, LabCorp afferma con sicurezza che non sono state divulgate informazioni. Quindi, puoi sicuramente dire che avrebbe potuto andare molto peggio.
Dopo aver appreso dell'attacco, il team IT di LabCorp ha immediatamente iniziato a mettere offline i sistemi nel tentativo di limitare il danno. Entro cinquanta minuti l'infezione era contenuta, ma a quel punto SamSam era già riuscito a crittografare i dati su 7.000 sistemi e 1.900 server.
Nonostante il danno sostanziale che hanno causato, gli hacker sono andati via a mani vuote. Secondo gli annunci ufficiali, il ransomware è stato "rimosso", il che suggerisce che LabCorp aveva backup funzionanti da cui avevano ripristinato le informazioni crittografate. La società afferma che la maggior parte delle operazioni di test sono state riprese e che tutto tornerà alla normalità entro pochi giorni.
Tutto sommato, la reazione di LabCorp all'attacco merita un certo livello di elogio. La società ha reagito rapidamente e il ransomware è stato contenuto prima che potesse completamente rompere l'infrastruttura della rete del laboratorio. Successivamente, la loro gestione responsabile dei dati sensibili ha contribuito a garantire che nessuna informazione andasse persa.
Le notizie non così buone
LabCorp deve ancora identificare l'esatta varietà di ransomware, ma CSO e le loro fonti sembrano essere abbastanza certi che si tratti di SamSam perché questa particolare famiglia ha colpito più di alcune organizzazioni sanitarie nell'ultimo anno circa. Inoltre, sebbene non sia il loro unico vettore di infezione, la banda di SamSam attacca spesso le vittime con le credenziali del PSR a forza bruta.
Ancora una volta, i dettagli non sono ancora chiari, ma l'evidenza suggerisce che LabCorp non aveva un'autenticazione a due fattori per proteggere i propri account RDP. In altre parole, c'erano prove che LabCorp fosse un potenziale bersaglio, eppure, sebbene rispondesse bene all'attacco, non era riuscito a compiere l'unico passo che avrebbe potuto fermarlo.
Gli esperti affermano spesso che un hacker deve riuscire solo una volta a lanciare un attacco riuscito. Gli utenti e le organizzazioni dall'altra parte, tuttavia, devono riuscire sempre se devono prevenire un incidente di sicurezza. L'attacco ransomware su LabCorp dimostra quanto sia corretta questa affermazione.
