Un ricercatore ucraino ha intercettato una chat room di hacker filorussi appartenenti a uno dei più grandi gruppi di cyber crime, Trickbot, che prevedeva di interrompere i servizi di oltre 400 ospedali statunitensi nel 2020, quindi in pieno periodo pandemico.
Proviamo a capire come funziona il “sistema” Trickbot e come è stato possibile, per ora, sventare questa temibile minaccia.
Perché la gang ransomware Conti si schiera con Putin: come cambia il cyber crime
Indice degli argomenti
Trickbot e il ransomware Conti
Trickbot permette l’accesso ad altri criminali come partner e questa iscrizione consente loro di utilizzare il ransomware Conti (il più usato nel 2021, secondo i ricercatori di cyber-minaccia dell’Unità 42, un team di hacker hunting di Palo Alto Networks), i server e i negoziatori di riscatto del gruppo per ottenere una percentuale del pagamento su ogni vittima.
Questo ransomware è lo stesso utilizzato contro il sistema nazionale irlandese che ha fatto sì che venissero cancellati i trattamenti a pazienti di ictus e cancro e negli USA ha colpito ospedali e call center del 911 in ben 16 attacchi. L’altro ransomware, il Ryuk, è usato dal 2018 contro ospedali e strutture sanitarie, si parla di oltre 235 vittime.
John Fokker, capo delle indagini informatiche con la società di sicurezza Trellix, sostiene che “Non fanno discriminazioni negli obiettivi; non gli importa se vanno dopo un ospedale. Si tratta solo di fare soldi”.
Trickbot e il piano di attacco agli ospedali USA
Le evidenze della minaccia cyber mirata agli ospedali americani sono tutte in alcune discussioni tra i criminal hacker che il ricercatore ucraino ha reso pubbliche. In particolare, dai registri della chat si scopre che un manager di secondo livello, che si firma come Target, delega un attacco coordinato agli ospedali statunitensi:
Target a Troy, 26 ottobre 2020
– (05:32:20)
Negli Stati Uniti
– (05:32:21)
Ci sarà il panico
– (05:32:29)
428 ospedali
– (05:32:34)
Da 2 a 4 contatti coordinati
– (05:32:47)
Ora tutto dipende da te
Per fortuna, le autorità statunitensi e gli esperti di cyber security hanno sventato gran parte del piano criminale, avvertendo gli ospedali prima che il ransomware potesse essere installato ma, secondo una cache di dati e documenti trapelati online nelle ultime settimane, avevano già raccolto centinaia di milioni di dollari chiudendo i pronto soccorso, le amministrazioni comunali e le scuole pubbliche dal 2018.
È stato proprio grazie alla scoperta della cache di documenti che le operazioni e le delibere interne sono state rese note pubblicamente, anche se le autorità statunitensi stavano già seguendo il gruppo Trickbot.
La chat ha al suo interno più di 200.000 messaggi scambiati da 450 manager, personale e partner commerciali da giugno 2020, che hanno saputo reagire ai contrattacchi delle coalizioni internazionali delle forze dell’ordine e hanno dimostrato anche grandi ambizioni sullo sviluppo della criptovaluta.
Nelle chat si pianificano attacchi criminosi, ma anche lo sviluppo di idee stravaganti, così come si mettono a bilancio le ferie o si risolvono conflitti tra i dipendenti.
Tutto questo fino al 27 febbraio scorso quando un ricercatore anonimo, identificato come ucraino, che si era infiltrato nei server del gruppo, ha pubblicato i dati su Twitter e, in riferimento alla guerra che si sta combattendo tra Russia e Ucraina, ha poi twittato “L’Ucraina risorgerà!”.
L’autenticità dei dati sulla chat room Trickbot
È chiaro che è stato proprio grazie al conflitto Russia-Ucraina che si è arrivati a smascherare uno dei più grandi e pericolosi gruppi di cyber criminali. Il ricercatore ucraino ha, infatti, deciso di passare le informazioni agli esperti di cyber security a seguito dello scoppio della guerra.
Le autorità americane non hanno verificato pubblicamente il materiale ricevuto, ma ritengono che sia autentico. Non c’è stato alcun commento né da parte del ricercatore né dal Federal Bureau of Investigation.
Comunque, il ransomware Conti, che ha rivendicato già Trickbot, risponde ai dettagli tecnici presenti nei dati, così come una violazione di un altro ceppo di ransomware sviluppato dal gruppo Ryuk, secondo quanto emerso da un’analisi del The Wall Street Journal.
Altro punto a favore dell’autenticità del materiale, secondo i ricercatori di sicurezza e il blogger Brian Krebs, è la corrispondenza tra le lacune nei log di uno sviluppatore di malware presente nelle chat con un nickname già inserito in un atto d’accusa federale come codificatore di Trickbot e i momenti in cui la chat era stata interrotta dalle autorità e agenzie di intelligence.
Russia, Ucraina e USA
È risaputo che l’attacco tramite ransomware richiede un riscatto per il rilascio dei dati violati. Il Dipartimento del Tesoro degli Stati Uniti ha affermato che i pagamenti di ransomware da parte di aziende americane che sono state segnalate dalle banche statunitensi nei primi sei mesi del 2021 erano quasi raddoppiati a quasi 600 milioni di dollari dal periodo dell’anno precedente.
Il presidente americano Biden ha chiesto più volte al presidente russo Putin di limitare gli attacchi ransomware provenienti dalla Russia, anche se da Mosca sono sempre arrivate smentite alle accuse americane. Ora si teme per una ritorsione da parte dei gruppi di cybercriminali contro gli USA per il sostegno dell’Occidente nei confronti dell’Ucraina contro l’invasione russa.
Il generale Paul Nakasone, il capo della National Security Agency e dell’U.S. Cyber Command, ha avvertito durante una recente audizione al Senato che la Russia potrebbe diventare più propensa a colpire con ransomware o altri cyberattacchi aggressivi man mano che il conflitto in Ucraina va avanti. Qualche giorno fa è stato sferrato un grande attacco cyber ad un fornitore di servizi internet ucraino usato dai militari del paese, che ne ha causato l’interruzione e si sta pensando di sanzionare il gruppo Trickbot. Questa mossa renderebbe illegale per le aziende statunitensi pagare le sue richieste di ransomware.
