È conosciuto con l’acronimo di FIN12 il gruppo ransomware che attacca in maniera aggressiva le strutture ospedaliere: in Italia, in particolare, seppure con dati in continuo miglioramento, gli ospedali sono ancora alle prese con l’emergenza Covid-19 e questo li rende un target privilegiato per i cyber criminali.
Indice degli argomenti
Le caratteristiche del gruppo ransomware FIN12
Come il nome stesso del gruppo ransomware lascia intuire, gli attacchi di FIN12 sono motivati da interessi economici.
Fin dal 2018, anno in cui sono state rilevate le attività malevoli, il gruppo FIN12 ha utilizzato in prevalenza il ransomware Ryuk per tenere in ostaggio i dati delle vittime e richiedere loro un riscatto. A differenza di altri gruppi ransomware, inoltre, FIN12 si è specializzato in attacchi rapidi con obiettivo principale aziende con grandi fatturati.
Si ritiene, in particolare, che il gruppo FIN12 sia formato da persone che parlano russo e che il gruppo abbia la propria base operativa nella Comunità degli Stati Indipendenti (CSI). Inoltre, non sono state osservate vittime degli attacchi di FIN12 localizzate in Paesi appartenenti alla CSI e, in aggiunta, l’analisi del codice effettuata dagli specialisti ha identificato diverse note e stringhe in lingua russa nel loro malware. Le vittime sono localizzate in Nord America, Europa, Asia e Australia.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Le strutture ospedaliere nel mirino di FIN12
Il ransomware è una minaccia che a partire dal 2013-2014 è aumentata con il passare degli anni sia per frequenza che per l’entità dell’impatto. È diventato, per questo motivo, un tema prioritario anche sulle scrivanie dei CISO italiani, soprattutto in quei settori dove la riservatezza delle informazioni e la disponibilità dei servizi forniti ai clienti (o al pubblico), dei computer e dei siti web è fondamentale.
Il settore sanitario, dovendo garantire la disponibilità dei propri servizi e trattando dati riservati, è stato spesso oggetto di interesse da parte degli attaccanti che utilizzano il ransomware, come FIN12. Infatti, questo gruppo in particolare, si è specializzato principalmente nell’eseguire attacchi verso questo settore.
Durante l’apice della pandemia da COVID-19, alcuni gruppi che utilizzavano ransomware hanno dichiarato pubblicamente che attaccare organizzazioni nel settore sanitario sarebbe stato eccessivo. Tuttavia, FIN12 non è tra questi. FIN12, infatti, sembra che abbia approfittato del fatto che questo settore non era “presidiato” da altri attaccanti e ha compreso che ci fossero molte più possibilità che le vittime in questo settore potessero ricorrere al pagamento di un riscatto come via d’uscita per tornare a fornire i propri servizi al pubblico ed evitare la divulgazione dei dati confidenziali sottratti.
Spesso, infatti, gli attaccanti che conducono attacchi ransomware oltre a criptare i dati delle vittime, rubano documenti critici e ricattano le organizzazioni minacciando la divulgazione dei contenuti rubati.
È vero anche, però, che in diversi casi si è visto FIN12 criptare i sistemi delle aziende vittime senza sottrarre alcun dato: in questi casi, il tempo trascorso tra la compromissione e la cifratura dei sistemi delle vittime è stato, in media, di soli 2,48 giorni.
Nei casi in cui oltre alla cifratura dei sistemi FIN12 ha sottratto anche dei dati, il tempo medio trascorso è stato di 12,4 giorni. Questi sono dati di estremo interesse per comprendere quanto velocemente sia necessario reagire.
I consigli per difendersi al meglio
In un report di threat intelligence su FIN12, vengono descritte le tattiche, le tecniche e le procedure utilizzate da questo gruppo di attaccanti. Questi dettagli sono preziosi per i Security Operation Center (SOC) delle aziende italiane e per i loro team che si occupano della gestione degli incidenti, perché offre la possibilità di identificare se FIN12 sia già all’interno della loro azienda e di individuare, in maniera tempestiva, i tentativi di compromissione.
La domanda che molte figure aziendali, appartenenti al team Executive, si pongono “ma siamo protetti in caso di un attacco ransomware?” può trovare risposta esclusivamente se sono stare condotte attività di sicurezza per ostacolare le tattiche, le tecniche e le procedure di questi attaccanti.
È dunque utile dividere questo problema in tre parti attraverso:
- un’analisi dell’architettura di sicurezza, delle politiche e delle procedure anti-ransomware in atto;
- un’attività di testing dei sistemi condotta attraverso operazioni effettuate dal Red Team dove viene impersonato un gruppo ransomware;
- una simulazione della gestione di un incidente ransomware.
Alcune delle domande impegnative a cui le vittime devono rispondere quando affrontano un incidente ransomware sono:
- Con quali strumenti viene effettuato il contenimento dei sistemi infetti?
- Quanto tempo è necessario per isolare le risorse critiche prima che vengano cifrate?
- Sono presenti notifiche nel caso in cui i backup vengano cancellati?
- In che modo è possibile permettere ai sistemisti di proseguire nella loro attività lavorativa nel caso in cui i loro computer venissero criptati?
- Nell’eventualità in cui la posta elettronica venisse messa fuori uso dall’attacco ransomware, in che modo è possibile comunicare tempestivamente con tutti i dipendenti (compresi quelli in remoto)?
- Quali sono i cinque principali sistemi che è necessario ripristinare per proteggere l’azienda?
Se a queste domande non corrisponde una risposta certa, o non è associata una policy, una procedura o un playbook, allora potrebbe essere vantaggioso approfondire i benefici di eseguire una valutazione anti-ransomware sviluppata sulla base delle conoscenze derivate dalle attività di Ransomware Incident Response.
