I dati sanitari sono tra quelli più ricercati dagli hacker di tutto il mondo, sia perché controllarli dà un vantaggio sotto diversi aspetti, non ultimi i ricatti o i furti d’identità. Questa importanza delle informazioni sulla salute porta i criminali a cercare tutte le modalità possibili per entrarne in possesso e, come nel caso che tratteremo oggi, creando delle vere e proprie reti di siti per giungere allo scopo. In questo caso è dovuta intervenire direttamente l’azienda maggiormente colpita, ovvero Microsoft, che ha messo in campo la sua unità di difesa, chiamata Digital Crimes Unit, per cercare di smantellare una rete di siti che puntavano al furto di credenziali ai suoi servizi 365.
Andando per ordine, il tribunale di New York ha autorizzato il DCU a sequestrare quasi 340 siti web che venivano sfruttati per effettuare campagne di phishing con RaccoonO365, un malware che è riuscito a mettere le mani su 5000 chiavi d’accesso ai servizi di Microsoft provenienti da quasi 100 diversi paesi a partire, pare, dal luglio del 2024. Per poter effettuare il furto delle credenziali, usava i siti che son stati sequestrati per eludere i controlli, ad esempio, sui codici Captcha ed un kit fornito dagli hacker stessi per apparire come ospiti legittimi. Prima dei dati sanitari, RaccoonO365 aveva preso di mira anche quelle di tipo finanziario e fiscale, andando a tentare di colpire migliaia di aziende americane solo nell’anno ancora in corso. Coi dati rubati, che tendenzialmente comprendevano accessi, cookies e documenti rubati da OneDrive e Sharepoint oltre che dalle caselle email, sono state tentate truffe finanziarie, estorsioni alle vittime o tentativi di accesso a sistemi altrui.
Ovviamente questi attacchi hanno effetti gravissimi sugli ospedali, perché queste truffe phishing sembrano presagire altri attacchi mediante malware, che possono paralizzare l’operatività delle strutture sanitarie. Microsoft, per tutelare i suoi clienti, sembra aver messo anche a disposizione assistenza legale interna sempre proveniente dalla DCU. Il problema di RaccoonO365 è il suo funzionamento “as a service”, ciò significa che il kit del quale abbiamo accennato viene venduto a pacchetti a gruppi diversi, che hanno bisogno di strumenti che non sono in grado di sviluppare in autonomia, un approccio che negli ultimi anni si diffonde a macchia d’olio e allo stesso modo crea una platea smisurata di possibili attaccanti.
Il problema non riguarda solo gli USA, come abbiamo visto, oltretutto perché se un attacco come quello che viene perpetrato tramite gli strumenti di RaccoonO365 arrivasse a colpire, o avesse colpito, aziende sanitarie europee si aprirebbe anche uno scenario che comprende sanzioni per violazione dei principi del GDPR. A livello economico, dal punto di vista degli hacker, sembra che in tasca si siano già messi centinaia di migliaia di dollari, rigorosamente in criptovalute, con centinaia di “abbonati” al loro kit malevolo. Le indagini hanno portato gli investigatori a capire che il leader di questo gruppo vivrebbe in Nigeria e collabori però con i russi, visto che i messaggi pubblicitari vengono scritti su Telegram in russo. Le operazioni di smantellamento delle reti di hacker, come quella che abbiamo raccontato in questo caso, portano in molti casi alla chiusura di una quantità impensabile di finti portali, aperti da un giorno all’altro e mirati solo ed esclusivamente alla perpetrazione delle truffe. Sempre Microsoft, ad esempio, nei mesi scorsi riuscì a smantellare una rete di oltre duemila domini che facevano capo al famoso malware (anch’esso as a service) chiamato Lumma (o Lumma stealer). Questo può sicuramente preoccupare ma dà anche la misura di come anche le grandi aziende si muovano per colpire gli hacker e non rimetterci in reputazione, evitando anche stop a settori strategici o di interesse pubblico come, in questo caso, gli ospedali.
Fonte: 1
