Ransomware SamSam: secondo il Dipartimento di Giustizia degli Stati Uniti (DOJ) due cittadini iraniani, Mohammad Mehdi Shah Mansouri e Faramarz Shahi Savandi rispettivamente di 27 e 34 anni, sarebbero gli autori di uno schema di hacking ed estorsione ai danni di oltre 200 istituzioni fra Stati Uniti (in 43 Stati), Canada, Australia, Emirati Arabi, India, Inghilterra, Olanda, Belgio, Danimarca, Estonia.
Un ransomware è una tipologia di malware in grado di infettare un dispositivo limitandone l’accesso. Alcune varianti di ransomware bloccano il sistema costringendo l’utente a pagare un riscatto in bitcoin per sbloccare il sistema. In altre invece, dopo aver crittato i file del computer, viene chiesto un riscatto per riportare i file crittati in chiaro.
Nella maggioranza dei casi le infezioni da ransomware avvengono attraverso email di phishing, nel caso di infezioni causate dal ramsomware SamSam le infezioni sono avvenute sempre grazie a processi d’attacco manuali sfruttando vulnerabilità dei sistemi operativi.
Secondo i Federali gli hacker sarebbero anche colpevoli di attacchi mirati a infrastrutture IT di istituzioni pubbliche americane e canadesi come ospedali, municipi, università… di seguito solo alcuni esempi
- Dipartimento dei Trasporti del Colorado
- Porto di San Diego, California
- Hollywood Presbyterian Medical Center, California
- Kansas Heart Hospital, Kansas
- MedStar Health, Columbia e Maryland
- Allscripts Healthcare Solutions Inc., Illinois
- Università di Calgary, Canada
Stando alle prove raccolte durante le indagini, il DOJ stima che i presunti hacker abbiano accumulato dal 2015 ad oggi una ricchezza pari a circa 6 milioni di dollari derivanti dai pagamenti dei riscatti, causando alle istituzioni colpite una perdita di oltre 30 milioni di dollari per danni alle infrastrutture IT.
Si stima che nella sola città di Atlanta, capitale della Georgia, le perdite globali siano state di oltre 10 milioni di dollari.
Per il Procuratore degli Stati Uniti Craig Carpenito i due hacker iraniani, Savandi e Mansouri, “[…] hanno lavorato molto prima di identificare gli obiettivi più vulnerabili da colpire. Non sono stati spinti solo dal denaro, ma piuttosto stanno cercando di danneggiare le nostre istituzioni e infrastrutture più importanti. Stanno cercando di influenzare il nostro modo di vivere”.
Secondo la Sophos, un’azienda inglese che si occupa di sicurezza informatica, l’unico modo sicuro per proteggere un sistema da questo tipo di attacco ransomware è quello di mantenere i backup offline, non connessi a internet e preferibilmente fuori sede o almeno in un archivio sicuro e bloccato.