Sommario
Le autorità statunitensi lanciano un allarme sul ransomware Interlock, che colpisce infrastrutture critiche e sanità con tattiche di doppia estorsione. La Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) collaborano con il Department of Health and Human Services e il Multi-State Information Sharing and Analysis Center per emettere un advisory congiunto. Questo documento descrive indicatori di compromissione e procedure per difendersi dagli attacchi in aumento. Nel frattempo, il Regno Unito prepara una legge che vieta i pagamenti di riscatti da parte delle organizzazioni pubbliche, mirando a interrompere il modello economico dei criminali informatici. Gli esperti osservano un’escalation di minacce, con vittime come aziende sanitarie e infrastrutture essenziali. Il gruppo Interlock emerge nel settembre 2024 e adotta metodi innovativi per accedere alle reti. Le indagini FBI rivelano accessi iniziali tramite download drive-by da siti legittimi compromessi, un approccio che si distingue dal phishing tradizionale. Il ransomware crittografa i sistemi dopo aver esfiltrato dati sensibili, esercitando pressione sulle vittime per pagare sia il decryptor che per evitare fughe di informazioni. Recentemente Interlock ha rivendicato attacchi a DaVita, compagnia di cure renali Fortune 500, con il furto di 1,5 terabyte di dati, pubblicati per intensificare l’estorsione. Anche Kettering Health, provider sanitario con oltre 120 strutture ambulatoriali e 15.000 dipendenti, è stata colpita in modo simile. Questi casi mostrano le gravi vulnerabilità del settore sanitario. Nel contesto europeo, il Regno Unito risponde con misure drastiche: le organizzazioni pubbliche, inclusi consigli locali, scuole e il National Health Service, non potranno pagare riscatti. Le imprese private dovranno notificare al governo eventuali pagamenti, ricevendo indicazioni legali in relazione a potenziali violazioni delle sanzioni contro gruppi russi. La proposta, derivata da una consultazione pubblica di gennaio, è parte di una strategia annunciata dal Security Minister Dan Jarvis per smantellare il business model dei cybercriminali. Gli attacchi recenti, come quelli al NHS e alla British Library, dimostrano impatti operativi devastanti. Il Regno Unito si allinea così ai trend globali contro il ransomware.
Tattiche e procedure di Interlock ransomware
Il gruppo Interlock impiega tattiche sofisticate per penetrare le reti, iniziando da download drive-by da siti compromessi che eludono i tradizionali alert di sicurezza. Una volta ottenuto l’accesso, il ransomware esfiltra i dati e solo successivamente li crittografa, agendo con un modello a doppia estorsione. Le indagini dell’FBI, attive dal giugno 2025, rivelano l’uso di strumenti come NodeSnake, un trojan di accesso remoto installato in reti universitarie britanniche, e FileFix, una tecnica che sfrutta elementi UI affidabili di Windows, come File Explorer e file .HTA, per eseguire PowerShell e JavaScript senza generare avvisi di sicurezza. Queste operazioni mirano principalmente al settore sanitario ma colpiscono anche il comparto educativo, finanziario e manifatturiero. Gli attacchi evolvono costantemente: vengono usati exploit kit, le reti sono segmentate per evitare il rilevamento, i tool sono testati su ambienti virtuali e i moduli malware vengono progettati per persistenza e re-infezione. Le operazioni sono coordinate, spesso da attori con base in Russia, e seguono schemi studiati per evitare tracciamenti e massimizzare i profitti, anche con offerte di sconto per pagamenti veloci.
Dettaglio tecnico: la tecnica FileFix in profondità
La tecnica FileFix, evoluzione di ClickFix, sfrutta interfacce fidate di Windows per indurre l’utente ad attivare codice malevolo. Gli attaccanti creano file .HTA che mimano finestre legittime, visualizzate tramite File Explorer, e inducono l’utente a cliccare credendo di aggiornare il sistema. Questo attiva PowerShell in background, eludendo le UAC e bypassando policy di esecuzione. Il codice scarica il payload ransomware e sfrutta tecniche di obfuscation per evitare le scansioni antivirus. La persistenza viene garantita tramite associazioni di registro e l’uso di prompt familiari. Gli esperti consigliano di disabilitare le associazioni HTA, utilizzare il logging avanzato e applicare patch regolari per mitigare il rischio.
Settori colpiti e impatti delle azioni
Il settore healthcare è tra i più colpiti, con DaVita che ha perso 1,5 terabyte di dati sensibili e Kettering Health che ha subito una violazione della privacy di migliaia di pazienti. Gli effetti si traducono in ritardi nelle cure, downtime operativo, perdite economiche e danni reputazionali. Il gruppo agisce anche contro università (con furti di ricerca), aziende finanziarie e catene di distribuzione, compromettendo supply chain e causando gravi reazioni a catena. Tra le vittime figurano British Library, Marks & Spencer, Co-op e Harrods, con impatti che spaziano dall’interruzione dei servizi alla perdita di dati dei membri, fino a restrizioni di rete interne. In particolare, l’encryptor DragonForce ha preso di mira host VMware ESXi, bloccando attività cruciali per molte aziende. Le conseguenze legali includono class action, sanzioni GDPR, perdita di fiducia da parte degli utenti e fuga di proprietà intellettuale.
Misure di difesa contro ransomware
Le autorità come CISA e FBI raccomandano DNS filtering, firewall, patching regolare, segmentazione di rete, autenticazione a più fattori, monitoraggio dei log, backup offsite e piani di risposta agli incidenti. L’iniziativa #StopRansomware promuove risorse aggiornate, mentre le organizzazioni adottano modelli zero-trust, analisi comportamentale, threat hunting, SIEM e tool DLP per prevenire l’esfiltrazione di dati. Le contromisure includono anche il blocco dei file .HTA, logging PowerShell, training su social engineering, pen test periodici, firewall con IOC blocking, e collaborazione internazionale per condividere intelligence. La resilienza operativa viene rafforzata da test di restore, cyber insurance, e policy aziendali che vietano il pagamento dei riscatti.
Caso Ring: nega breach e login sospetti
Il 28 maggio 2025, Ring ha smentito una violazione dopo segnalazioni da parte di utenti che indicavano login sospetti su dispositivi non riconosciuti. L’azienda, di proprietà di Amazon, ha attribuito l’anomalia a un bug nell’aggiornamento backend, che mostrava date di login errate e dispositivi ormai dismessi. Secondo il portavoce, nessun accesso non autorizzato è stato confermato. Tuttavia, utenti hanno rilevato IP sospetti, paesi non visitati e visualizzazioni live in orari inconsueti. Ring ha consigliato di rimuovere i dispositivi sospetti, cambiare le credenziali e abilitare l’autenticazione a due fattori. Nonostante la smentita ufficiale di una breccia, la fiducia degli utenti resta scossa. Il caso si inserisce nel contesto più ampio della trasparenza nella cybersecurity e della gestione della comunicazione post-incidente.
Politica UK: divieto pagamenti e reporting obbligatorio
Il Regno Unito ha introdotto una normativa che vieta i pagamenti di riscatti ransomware da parte di enti pubblici come consigli locali, scuole e NHS, estendendo l’obbligo di reporting anche alle imprese private. Queste ultime devono notificare al governo qualsiasi pagamento potenziale, specialmente in presenza di gruppi collegati alla Russia, per ricevere indicazioni sul rispetto delle sanzioni. La misura, annunciata dal ministro Dan Jarvis, punta a smantellare il modello economico del ransomware, impedendo che i pagamenti finanzino nuove operazioni. Gli attacchi recenti a strutture britanniche dimostrano l’urgenza di una linea dura. Il divieto non solo riduce l’attrattività del Regno Unito come target, ma migliora anche la collaborazione con le agenzie statunitensi, allineando le strategie internazionali.
