Dopo aver attaccato innocenti clienti di istituti di credito e tentato truffe via sms, da una ricerca condotta dalla società statunitense di sicurezza informatica Palo Alto Networks, emerge che nello stesso periodo sono stati riscontrati numerosi tentativi di attacco ransomware che, senza alcuna coscienza ed empatia, sono stati rivolti specialmente a strutture mediche.
In particolare sono state scoperte ed analizzate due campagne di attacco.
La prima, sfruttando una vulnerabilità di Microsoft, ha permesso a fine marzo prima di sferrare una attacco phishing contro un’organizzazione sanitaria del governo canadese e un’università canadese di ricerca medica, dopo che nelle settimane precedenti il Dipartimento di salute e servizi umani (HHS) degli Stati Uniti, la società americana di biotecnologie 10x Genomics, l’ospedale universitario di Brno, nella Repubblica Ceca, e l’Hammersmith Medicines Research (UK) sono stati colpiti da attacchi informatici. I criminali hanno inviato e-mail con un indirizzo che imita quello dell’Organizzazione Mondiale della Sanità (noreply @ who [.] int), allegando un file malevolo in formato RTF denominato “20200323-sitrep-63-covid-19.doc” che una volta aperto infettava i dispositivi con il ransomware EDA2.
Nonostante l’allegato non fosse ben camuffato, né tantomeno il suo nome fosse stato aggiornato nel tempo, ha lasciato il segno. Gli incauti utenti, aprendolo, hanno fatto si che il programma contenente il virus andasse in esecuzione. In un battibaleno si sono ritrovati il proprio computer inutilizzabile, con tutti i file criptati ed una richiesta di riscatto pari a 0.35 bitcoin, circa 2.500 $, per ogni dispositivo.
Tutti questi attacchi ransomware rappresentano solo una piccola parte degli attacchi informatici perpetrati durante pandemia. Mi riferisco all’aumento del phishing via e-mail, con i quale i malintenzionati tentano di utilizzare la crisi per convincere le persone a fare clic sui collegamenti che, sebbene apparentemente portano a notizie, comunicati ufficiali o richieste di donazioni, in realtà scaricano malware o ransomware sui loro pc.
Il picco degli attacchi di ransomware nel settore medico ha spinto l’Interpol ad avvisare i paesi membri della minaccia, affermando che “I criminali informatici utilizzano il ransomware per tenere in ostaggio digitalmente ospedali e servizi medici, impedendo loro di accedere a file e sistemi vitali fino al pagamento di un riscatto”.
Altra tipologia di attacco è stato quello attraverso una variante di infostealer (AgentTesla) osservata in attacchi contro vari altri obiettivi (ad esempio, un ente di ricerca sulla difesa degli Stati Uniti, un’agenzia governativa turca che gestisce opere pubbliche, una società di produzione industriale tedesca, un produttore chimico coreano, un istituto di ricerca situato in Giappone, strutture di ricerca medica in Canada…).
Si tratta di un malware esistente dal 2014 che ruba informazioni, specialmente password. Agent Tesla è un vero e proprio portale, i cui indirizzi IP vengono cambiati di frequente, che offre servizi on demand. Sullo store sono in vendita pacchetti per ogni illecita esigenze: estrarre le credenziali da diversi browser, mail, ed FTP client, registrare le digitazioni ed i dati nella clipboard, catturare screen e video, eseguire la cattura dei form delle piattaforme social quali Instagram, Twitter, Gmail, Facebook etc.
È tanto chiaro quanto sconcertante, vedendo questi episodi, che gli hackers che traggono profitti attraverso crimini informatici non si fanno scrupoli, prendendo di mira pure le organizzazioni che sono in prima linea per sconfiggere la pandemia.
