Anche Axa, Toshiba e il sistema sanitario irlandese nel mirino di ricattatori digitali. Cresce l’attenzione verso la cybersicurezza (e le assicurazioni)
L’attacco hacker alla Colonial Pipeline ha gettato una luce abbagliante su un trend in crescita. Settimana scorsa la divisione francese di Toshiba ha reso noto di essere stata vittima di un attacco a opera di DarkSide, il collettivo hacker salito alla ribalta nei giorni scorsi dopo essere stato additato dalla Fbi come responsabile dell’aggressione all’oleodotto americano. Stessa modalità di attacco (un ransomware) e 740 gigabyte di dati sensibili sottratti per chiedere un riscatto.
La notizia è uscita a poca distanza dalla decisione di DarkSide di “chiudere” le proprie operazioni per via dell’eccesso di “pressione” negli Stati Uniti. Una nota scritta in russo e pervenuta alla redazione del New York Times spiegava che il gruppo aveva perso l’accesso alla pagina darknet dedicata ai “clienti” e i fondi ottenuti attraverso il ricatto alla Colonial Pipeline, più altri (per un totale di 113,5 bitcoin, o 5,6 milioni di dollari), erano stati trasferiti a un destinatario sconosciuto.
Non è da escludere l’intervento delle autorità americane. Dopo l’attacco alla Colonial Pipeline il presidente Joe Biden ha menzionato la possibilità di un attacco informatico “incapacitante” ai danni di DarkSide, oltre ad aver emesso un ordine esecutivo per rinforzare le difese di cybersicurezza nazionali. Ma alcuni analisti avvertono che la nota potrebbe essere uno stratagemma per allontanarsi dai riflettori, consentendo al gruppo di riorganizzarsi e ricominciare a operare sotto un altro nome.
Intanto si è consolidato il collegamento tra DarkSide e la Russia di cui parlavamo su Formiche.net. Gli esperti di DarkTracer sono riusciti a penetrare nell’ultimo server ancora online di DarkSide e hanno scavato tra le righe del codice sorgente, scoprendo delle annotazioni in russo.
Ma il problema non è limitato a DarkSide e nemmeno alla Russia. Giovedì il sistema sanitario irlandese ha spento i propri sistemi (tra cui la prenotazione di servizi e vaccinazioni) in seguito a un doppio attacco ransomware. E nelle ultime ore è emerso anche il caso di Axa, la multinazionale di assicurazioni che lo scorso 7 maggio ha fatto sapere che avrebbe sospeso i rimborsi per i crimini ransomware in Francia. Sorpresa: una divisione asiatica della stessa Axa avrebbe sofferto un attacco ransomware a inizio maggio.
Gli autori di quest’ultimo attacco hanno usato un codice malevolo chiamato chiamato Avaddon per carpire tre terabyte di dati, tra cui informazioni personali, cartelle cliniche, documenti bancari e fotocopie di documenti d’identità di pazienti in Thailandia, Malesia, Hong Kong e nelle Filippine. Non è chiara l’identità dei cybercriminali, ma Avaddon è mantenuto da un cartello criminale che lo “affitta” attraverso un “programma di affiliazione” e trattiene una percentuale dai suoi “clienti”.
L’industria del cybercrimine è in crescita. Secondo l’Atlantic Council il costo globale delle aggressioni ransomware è salito da 11,5 miliardi di dollari nel 2019 a 20 miliardi nel 2020, secondo la compagnia di cibersicurezza Bitdefender gli attacchi sono aumentati del 485% nello stesso lasso di tempo. La decisione di Axa di sospendere le assicurazioni a copertura di queste aggressioni (un inedito per l’industria) perché secondo alcuni ufficiali queste sarebbero state un elemento di “richiamo” per i malintenzionati.
