Qilin, gruppo con sede in Russia, ha colpito Synnovis spingendo alcuni ospedali della capitale britannica a dichiarare lo stato d’emergenza. Il ransomware si conferma un problema globale nel settore
È stato uno dei più gravi attacchi informatici condotti di recente contro le istituzioni e i servizi pubblici del Regno Unito. I principali ospedali londinesi sono stati costretti a cancellare alcuni interventi chirurgici e molti hanno dichiarato lo stato d’emergenza. Ci sono stati problemi in particolare sulle trasfusioni di sangue e sui referti degli esami clinici. A essere stato colpito, lunedì, è stato Synnovis, nato da una partnership tra il Guy’s and St Thomas’ NHS Foundation Trust e il King’s College Hospitals NHS Trust, che ospita il Synlab, il più grande fornitore di test e diagnostica medica in Europa. A colpire sembra essere stato il gruppo Qilin, con sede in Russia, specializzato in ransomware-as-a-service con la doppia estorsione, ovvero criptare i dati e minacciare di pubblicarli se non viene pagato un riscatto (che, in base alla linea indicata dal governo, non è previsto nel Regno Unito).
Il gruppo
Qilin, noto anche come Agenda, è attivo dal luglio 2022, secondo SentinelOne. A ottobre dello stesso anno quando ha lanciato la sua prima ondata di attacchi contro aziende tra cui la società francese Robert Bernard e la società australiana di consulenza informatica Dialog. Come detto l’approccio è quello del ransomware-as-a-service. Ciò consente agli hacker indipendenti di utilizzare gli strumenti e l’infrastruttura del gruppo in cambio di una percentuale compresa tra il 15 e il 20% dei proventi. Il colpo più recente è stato quello contro l’editore del giornale di strada The Big Issue a marzo: il gruppo ha distrutto i sistemi della società prima di rubare e pubblicare dati riservati. Dopo il rifiuto di pagare il riscatto, sono stati pubblicati sul dark web oltre 500 gigabyte di informazioni sottratte all’editore, tra cui le scansioni dei passaporti dei dipendenti e le informazioni sulle buste paga.
Il riscatto
Il gruppo ha aumentato costantemente la sua attività nell’ultimo anno, rivendicando la responsabilità di oltre 50 attacchi negli ultimi quattro mesi. Secondo gli esperti di sicurezza informatica Secureworks, “i suoi attacchi tendono a essere opportunistici piuttosto che mirati”. Nel 2023, la richiesta di riscatto tipica di Qilin era compresa tra 50.000 e 800.000 dollari, secondo Group-IB, una società di cybersicurezza che si è infiltrata nel gruppo quell’anno. In genere, Qilin si fa strada nelle reti delle vittime in particolare attraverso lo spear-phishing, messaggi mirati agli addetti ai lavori per convincerli a condividere le credenziali o a installare malware.
Le difficoltà britanniche
Difficile risalire all’ubicazione del gruppo per le autorità britanniche. Ancor più difficile colpirlo direttamente, considerato che la Russia ha da tempo il divieto di estradare i criminali all’estero e, da quando ha lanciato l’invasione dell’Ucraina, ha in gran parte interrotto ogni cooperazione in materia di sicurezza informatica finché gli hacker concentrano i loro attacchi su obiettivi stranieri. È cambiato l’approccio a Mosca, ha spiegato recentemente Anne Keast-Butler, a capo dei Government Communications Headquarters, l’agenzia di signals intelligence britannica. “Prima la Russia si limitava a creare l’ambiente adatto per far operare questi gruppi, ma ora sta alimentando e ispirando questi attori informatici non statali e, in alcuni casi, sembra coordinare gli attacchi fisici contro l’Occidente”.
Un problema globale
Gli attacchi ransomware contro la sanità rappresentano un problema globale. Il rapporto Year in Review 2023 di Cisco Talos identifica l’assistenza sanitaria e i servizi medici come il settore più colpito dagli attacchi ransomware l’anno scorso. Negli Stati Uniti sono stati 249 gli attacchi contro questi target segnalati all’Internet Crime Complaint Center dell’FBI in quell’anno.
