Andando avanti nel 2025, possiamo guardare indietro a dove abbiamo vacillato lungo il percorso. Ora, esamineremo alcuni dei principali attacchi ransomware del 2024 per vedere cosa possiamo imparare da loro.

Attacco ransomware all’ospedale pediatrico Lurie

Nel gennaio 2024, il Chicago Lurie Children’s Hospital  ha messo offline i suoi sistemi e ha ritardato l’assistenza ai pazienti dopo un attacco ransomware. Rhysida, un famoso gruppo Ransomware-as-a-Service, ha chiesto un riscatto di 3,7 milioni di dollari in cambio di 600 GB di dati rubati. Dopo che Lurie si è rifiutato di pagare il prezzo, i dati sono trapelati online. La violazione causata da questo attacco ransomware ha avuto un impatto su circa 791.000 persone.

Cambia l’attacco ransomware sanitario

Nel febbraio 2024, Change Healthcare è stata colpita da un attacco ransomware, che l’ha costretta a chiudere per diverse settimane. L’organizzazione ha invocato i suoi protocolli di sicurezza e ha chiuso l’intera rete per isolare un’intrusione nel suo sistema. La gang ALPHV/BlackCat si è attribuita il merito dell’attacco, sostenendo di aver rubato milioni di informazioni sanitarie e dei pazienti sensibili di americani. L’azienda ha pagato un riscatto di 22 milioni di dollari. Andrew Witty, amministratore delegato di UnitedHealth Group (UHG), che possiede Change Healthcare, ha in seguito ammesso che gli hacker sono entrati nei sistemi di Change Healthcare utilizzando un’unica password impostata su un account utente non protetto con autenticazione a più fattori. Dopo che sono emersi maggiori dettagli sull’attacco, lo stato del Nebraska ha intentato una causa contro Change Healthcare a dicembre, in cui accusa il gigante della tecnologia sanitaria di carenze di sicurezza che hanno portato alla massiccia violazione di almeno 100 milioni di persone in America.

Attacco ransomware VNDirect Securities

Nel marzo 2024, anche il terzo agente di cambio in Vietnam per base di capitale, VNDirect Securities, è stato vittima di un attacco ransomware. Nguyen Vu Long, CEO di VNDirect, ha dichiarato che la società è stata attaccata da un gruppo di hacker professionisti che hanno crittografato i dati aziendali. Diversi clienti hanno lamentato difficoltà ad accedere ai sistemi di trading dell’azienda, a effettuare richieste di informazioni sui conti e a piazzare ordini. VNDirect ha quindi decrittografato con successo i dati bloccati e ha iniziato a ripristinare il sistema. Il giorno seguente, la Borsa di Hanoi (HNX) ha annunciato che avrebbe temporaneamente interrotto il trading remoto e il trading online di transazioni di titoli derivati, transazioni di strumenti di debito e transazioni di obbligazioni aziendali individuali di VNDirect Securities fino alla risoluzione del problema. Il 1° aprile, una settimana dopo l’attacco, le borse di Ho Chi Minh e Hanoi hanno consentito alla società di riprendere le negoziazioni. Tuttavia, la società ha subito un calo del 18% anno su anno dell’utile netto principalmente a causa delle ricadute dell’attacco ransomware.

Attacco ransomware Ascension Health

L’ attacco ransomware Ascension Healthcare ha scosso il settore sanitario nel 2024. L’8 maggio, l’organizzazione sanitaria senza scopo di lucro con sede negli Stati Uniti è stata colpita da un attacco informatico che ha gravemente interrotto le operazioni nei suoi 120 ospedali. Successivamente confermato come attacco ransomware, l’incidente ha crittografato migliaia di sistemi informatici, rendendo inaccessibili le cartelle cliniche elettroniche e influenzando i principali servizi diagnostici, tra cui risonanze magnetiche e TAC. Infermieri e medici sono stati costretti a fare affidamento su scansioni stampate durante gli interventi chirurgici. Fonti hanno confermato che Black Basta era il ransomware utilizzato nell’attacco. Ascension ha speso circa 130 milioni di dollari USA per rispondere all’attacco, perdendo un fatturato netto di circa 1,1 miliardi di dollari USA di entrate operative entro la fine dell’anno fiscale 2024.

Attacco ransomware al centro dati nazionale indonesiano

A giugno dell’anno scorso, l’ Indonesia National Data Center è stato vittima di un attacco ransomware, interrompendo i servizi governativi per tutto il weekend. L’azienda ha scoperto l’attacco dopo aver ricevuto una notifica sui “tentativi di spegnimento di Windows Defender”, il software di sicurezza preinstallato che identifica virus, spyware e altri malware. Sono stati colpiti diversi aeroporti e traghetti e i sistemi di passaporto sono stati bloccati. L’attacco ha ulteriormente interrotto i servizi in 210 istituzioni statali in tutto il paese. Fortunatamente, il data center di Surabaya attaccato nell’incidente era solo una struttura temporanea utilizzata mentre venivano costruiti nuovi data center per integrare i dati degli enti governativi a livello centrale e regionale. Gli autori della minaccia dietro l’attacco sembravano essere affiliati al gruppo ransomware LockBit e hanno chiesto un riscatto di 8 milioni di dollari. Tuttavia, il ministro delle Comunicazioni e dell’Informatica, Budi Arie Setiadi, ha assicurato che il governo indonesiano non avrebbe mai pagato il riscatto. Si ritiene che nell’attacco sia stato utilizzato il ransomware Brain Cipher. 

Attacco ransomware globale CDK

Nel giugno 2024 si è verificato un massiccio attacco ransomware a CDK Global , un’azienda di software che fornisce sistemi per concessionarie di automobili in Nord America e Canada. L’interruzione di CDK Global ha causato interruzioni diffuse in più sistemi di concessionarie automobilistiche, tra cui il monitoraggio e l’ordinazione di ricambi auto, la conduzione di nuove vendite e il finanziamento. L’azienda ha scelto di chiudere i propri sistemi in modo proattivo, costringendo i dipendenti a registrare manualmente le transazioni su carta. Il gruppo ransomware BlackSuit si è preso il merito dell’attacco e ha chiesto 387 Bitcoin, ovvero circa 25 milioni di dollari USA, come riscatto. I dati di terze parti e le informazioni di identificazione personale (PII) rubati dal gruppo hanno quindi consentito agli autori della minaccia di orchestrare una campagna di attacco secondaria sui clienti CDK. Il 21 giugno, SC Media ha riferito che CDK “ha pubblicato una segreteria telefonica in cui si avvisa che gli autori della minaccia stanno contattando clienti e partner commerciali CDK fingendosi membri o affiliati di CDK”.

Attacco ransomware al NHS England

Sempre a giugno 2024, il National Health Service (NHS) del Regno Unito ha confermato che i dati dei pazienti gestiti dall’organizzazione di test patologici Synnovis sono stati rubati in un attacco ransomware. Più di 3000 appuntamenti in ospedale e dal medico di base sono stati interessati dall’attacco orchestrato dal gruppo di hacker russo Qilin. Il gruppo ha continuato a condividere quasi 400 GB di dati riservati sul proprio sito darknet dopo aver minacciato Synnovis nell’attacco ransomware. I dati includevano richieste di appuntamenti e test patologici e istologici. Synnovis ha ottenuto un’ingiunzione preliminare dall’Alta Corte inglese contro il gruppo ransomware che ordinava loro di non accedere ai sistemi IT di Synnovis. Sebbene possa sembrare irrilevante farlo, ciò costringe piattaforme come Telegram e gli ISP a richiedere la rimozione dei dati hackerati. A seguito di questa ingiunzione, il canale Telegram utilizzato da Qilin per distribuire i dati non sembrava più attivo.

Attacco ransomware OneBlood

Nel luglio del 2024, il settore sanitario ha subito un altro colpo quando OneBlood , un servizio di donazione del sangue senza scopo di lucro, è diventato vittima di un attacco ransomware che ha colpito i suoi sistemi software critici. L’incidente ha influito sulla capacità dell’azienda di spedire prodotti sanguigni agli ospedali in Florida e OneBlood ha dovuto ricorrere all’etichettatura manuale dei prodotti sanguigni. L’organizzazione ha anche dovuto chiedere a più di 250 ospedali sotto il loro servizio di attivare i loro protocolli critici di carenza di sangue e di rimanere in quello stato per tutto il tempo necessario.

Attacco Ransomware Casio

Nell’ottobre del 2024, Casio ha subito un attacco ransomware che ha compromesso i dati personali di quasi 8.500 persone. La grande azienda giapponese di elettronica ha subito il furto di oltre 200 gigabyte di dati da parte del gruppo ransomware Underground. Dopo aver indagato, Casio ha rivelato che la violazione aveva avuto un impatto sui dati di quasi 6.500 dipendenti, rivelando informazioni come nomi, numeri di dipendenti, indirizzi e-mail, informazioni sul genere, date di nascita, dati della carta d’identità, dati sulla famiglia e numeri di identificazione del contribuente. L’attacco ha inoltre compromesso le informazioni personali di oltre 1.900 partner commerciali Casio e 91 clienti. L’azienda ha rivelato in seguito che gli aggressori hanno utilizzato tecniche di phishing per entrare, a causa di “alcune carenze nelle misure dell’azienda contro le e-mail di phishing”. 

Attacco ransomware Schneider Electric

A novembre, la multinazionale francese Schneider Electric è stata vittima di un attacco ransomware. Il gruppo ransomware Hellcat si è preso la responsabilità dell’attacco e ha provocato l’azienda online chiedendo l’assurdo riscatto di 125.000 dollari in “Baguettes” per impedire la fuga di dati.
Il gruppo ha affermato di aver rubato 40 GB di dati compressi. In seguito si è scoperto che il gruppo in realtà voleva 125.000 $ USA in criptovaluta Monero e ha esagerato con l’aspetto baguette per guadagnare terreno nelle notizie.

Attacco ransomware Deloitte UK

Nel dicembre del 2024, un gruppo ransomware chiamato Brain Cipher ha affermato di aver colpito Deloitte UK con un attacco ransomware. Il gruppo ha dichiarato di aver violato i sistemi dell’organizzazione e rubato 1 terabyte (TB) di dati compressi. Il gruppo ha fornito una scadenza a Deloitte per rispondere e ha minacciato di rivelare come “i ‘punti elementari’ della sicurezza informatica non siano rispettati” dall’azienda. Il gruppo ha inoltre criticato le grandi aziende per non aver protetto adeguatamente i loro sistemi, sottintendendo che le pratiche di sicurezza informatica di Deloitte erano insufficienti. Deloitte ha rilasciato una dichiarazione negando che la violazione avesse avuto un impatto su uno qualsiasi dei suoi sistemi, affermando che “le accuse riguardano il sistema di un singolo cliente che si trova al di fuori della rete Deloitte”.