L’Health Sector Cybersecurity Coordination Center (HC3), organizzazione americana che si occupa di sicurezza informatica e sanità, ha pubblicato una nota degli analisti rispetto a un nuovo gruppo ransomware, denominato BlackSuit.
Stiamo parlando di una nuova gang di cybercriminali, ritenuta una minaccia credibile per il settore sanitario e della salute pubblica che, a quanto pare, si è resa protagonista di un massiccio attacco nello scorso mese di ottobre.
Vittima della campagna è stata un’azienda impegnata nelle forniture di strumenti nel contesto radiologico, operante in più di 1.000 ospedali presenti sul territorio statunitense. Questa prima offensiva lascia presagire che, nel corso delle prossime settimane o mesi, potrebbero essere molte le aziende a finire vittima di BlackSuit.
BlackSuit, il ransomware utilizza la tecnica della doppia estorsione
Le modalità di attacco legate a questo gruppo non si discostano più di tanto dal contesto ransomware contemporaneo.
A livello specifico, BlackSuit adotta la formula degli attacchi a doppia estorsione., con furto di dati sensibili e successiva richiesta di riscatto per decrittografare gli stessi. A rendere ancora più complessa la situazione vi è il fatto che questo tipo di campagna sembra risultare efficace sia in ambiente Windows che su Linux.
I dati raccolti finora su questa nuova minaccia sembrano fare riferimento a un gruppo indipendente, che non ha nulla a che vedere con i ransomware-as-a-service (RaaS). Per alcuni esperti impegnati nell’analisi, poi, BlackSuit potrebbe derivare da un altro ransomware alquanto famoso, ovvero Royal.
Così come quest’ultimo, infatti, BlackSuit adotta per la crittografia AES di OpenSSL, combinata con tecniche di crittografia intermittente, in grado di agire con maggiore velocità ed efficienza durante l’elaborazione de file.
Visto che il ransomware si è palesato con un solo attacco certificato, al momento non è possibile individuare altre caratteristiche legate al suo modus operandi. Per quanto riguarda la distribuzione, si pensa che i cybercriminali possano sfruttare tecniche come malvertising, macro malevole in documenti diffusi via e-mail, trojan, dropper e altri canali alquanto comuni nel contesto ransomware.