Sicurezza Informatica
Cicada3301 e BianLian: minacce ransomware anche per i bambini
Cicada3301 e BianLian: nuovi attacchi ransomware colpiscono la sanità e altri settori critici, mettendo a rischio dati sensibili.
Nel panorama in continua evoluzione delle minacce informatiche, due gruppi di ransomware hanno recentemente catturato l’attenzione: Cicada3301 e BianLian. Entrambi sono stati responsabili di attacchi mirati che hanno compromesso dati sensibili e interi sistemi aziendali in settori critici. Questi gruppi rappresentano nuove sfide per la sicurezza informatica, grazie alle loro capacità avanzate e all’uso di tecnologie sofisticate.
Il ransomware Cicada3301 è stato scoperto a metà 2024 e si è distinto per il suo approccio innovativo e per l’uso del linguaggio di programmazione Rust. Questo gruppo opera come ransomware-as-a-service (RaaS), offrendo un pannello di controllo per i propri affiliati, i quali possono personalizzare gli attacchi e ottenere il 20% delle commissioni su ogni operazione riuscita. Cicada3301 è in grado di colpire piattaforme diverse, tra cui Windows, Ubuntu, CentOS e persino macchine virtuali. Prima di crittografare i file delle vittime, il ransomware spegne macchine virtuali, termina processi e cancella copie shadow, rendendo più difficile il recupero dei dati. Inoltre, l’abilità di cifrare le condivisioni di rete aumenta notevolmente il danno complessivo.
Una caratteristica distintiva di questo gruppo è l’esfiltrazione dei dati prima della crittografia, una strategia che aggiunge pressione sulle vittime, costrette a pagare per evitare la diffusione delle informazioni rubate. Secondo il rapporto di Group-IB, Cicada3301 ha compromesso almeno 30 organizzazioni tra Stati Uniti e Regno Unito, colpendo settori chiave come quello tecnologico e industriale. La capacità del gruppo di sfruttare una combinazione di algoritmi crittografici avanzati (ChaCha20 + RSA) e l’integrazione con un pannello per affiliati rende questo gruppo particolarmente pericoloso e sofisticato.
BianLian e l’attacco a Boston Children’s Health Physicians
Un’altra minaccia significativa è rappresentata dal gruppo BianLian, che ha recentemente rivendicato un attacco contro Boston Children’s Health Physicians (BCHP). L’attacco ha compromesso il fornitore IT di BCHP il 6 settembre 2024, e pochi giorni dopo sono state rilevate attività non autorizzate su alcune parti della rete dell’organizzazione. BCHP, che gestisce una rete di oltre 300 medici pediatrici tra New York e il Connecticut, ha prontamente avviato le procedure di risposta, spegnendo i sistemi compromessi e collaborando con esperti forensi per valutare l’entità del danno.
Il gruppo BianLian ha dichiarato di aver sottratto file contenenti dati sensibili di dipendenti, pazienti e garanti. Tra le informazioni rubate ci sono nomi, numeri di previdenza sociale, indirizzi e informazioni relative alle polizze assicurative. Tuttavia, BCHP ha confermato che i sistemi di registri medici elettronici, ospitati su una rete separata, non sono stati compromessi. BianLian ha minacciato di divulgare i dati rubati se non verrà pagato un riscatto, ma non ha ancora fissato una scadenza, suggerendo la volontà di negoziare.
Questo attacco è particolarmente allarmante poiché coinvolge un’istituzione sanitaria che si occupa di minori, una linea che la maggior parte dei gruppi ransomware evita. Tuttavia, casi recenti come quello di Rhysida, che ha attaccato il Lurie Children’s Hospital di Chicago, dimostrano che alcuni gruppi non esitano a colpire anche organizzazioni mediche dedicate ai bambini.