RansomEXX that also attacks the weakest: SAMH, mental health scottish

Attacco sofisticato e criminale alla sicurezza informatica di un’associazione no profit per problemi di salute mentale, grande impatto e nessun ritorno

RansomEXX ha colpito un ente di beneficenza no profit scozzese, operante nel supporto per la malattia mentale (SAMH), con una richiesta di riscatto che fa molti più danni di ciò che, neppure volendo, possa far fruttare.

Quando analizziamo attacchi ransomware siamo abituati ad avere a che fare con enti o imprese dai fatturati importanti, la cui sicurezza informatica, poco mantenuta, rivela scadenti vulnerabilità comode da sfruttare per bande criminali che cercano metodi rapidi per arricchirsi. In questo caso invece sembra quasi un problema o un incidente del gruppo criminale stesso, un clamoroso errore di valutazione, oppure una scarsa organizzazione interna della gang.

Per l’Italia RansomEXX è lo stesso gruppo dietro alle operazioni contro Unione dei Comuni Terre di Pianura e Unione Reno Galliera tra settembre e novembre 2021.

Attaccata l’associazione di salute mentale scozzese SAMH

E’ un ransomware il software malevolo che ha colpito l’organizzazione no profit della Scozia. Dal 1923, SAMH è l’ente di beneficenza nazionale scozzese per la salute mentale. Ogni giorno si occupa di adulti e giovani fornendo supporto per la salute mentale, assistenza sociale, servizi di assistenza primaria, scuole e istruzione superiore.

L’organizzazione ha approcciato la vicenda con la massima trasparenza e già dai primi segnali, era il 18 marzo, avvisava di gravi problemi con la posta elettronica, interruzione del servizio email che avrebbe interrotto la comunicazione con i beneficiari del loro operato. Garantendo invece una continuità nel contatto via telefono.

In questa fase la rivendicazione dell’attacco non era ancora resa nota. Nella giornata del 20 marzo invece arriva il post sul sito web (dark web) di RansomEXX, che titola proprio “Scottish Association for Mental Health”. Quindi è vero, un gruppo criminale ha preso di mira una struttura sensibile e senza capacità di spesa.

La rivendicazione SAMH di RansomEXX

Il risultato dell’attacco

Una grande esfiltrazione di dati, senza guanti, di oltre 12GB di documenti riservati, riferibili a persone con disabilità mentali, loro tutori, loro parenti, personale volontario (che usa grandi energie e tempo prezioso per aiutare qualcun altro senza alcun ritorno economico). Un attacco quasi sproporzionato nella forma mi verrebbe da dire.

L’intera unità D: colma di documenti importanti per un’associazione che aiuta una classe di persone bisognose e in cerca di sostegno, quasi senza capire che di fatto, un riscatto, la vittima che non ha soldi propri, non potrà mai permetterselo. Neppure nel caso più estremo.

La lettera di SAMH agli estersori

Il 21 marzo SAMH comunica ufficialmente di aver appreso la natura del disservizio dei giorni scorsi, di avere ancora molte difficoltà a ripristinare i servizi di comunicazione e di continuare a svolgere le proprie attività unicamente con il supporto telefonico. L’impatto di questo attacco è stato dunque elevato, oltre i dati sottratti, il macchinario reso inutilizzabile era sicuramente centrale e rilevante nella rete interna dell’organizzazione.

“Siamo devastati da questo attacco. È difficile capire perché qualcuno tenti deliberatamente di interrompere il lavoro di un’organizzazione su cui fanno affidamento le persone più vulnerabili”.

Billy Watson, post attacco ransomware.

Nel frattempo l’amministratore delegato Billy Watson ha ufficializzato anche che “Stiamo lavorando a stretto contatto con varie agenzie tra cui la polizia scozzese: questa è un’indagine attiva”.

Riflessioni sull’attacco al più debole

L’attacco è stato portato a segno con successo. Non intendo giustificare le carenze tecniche dell’organizzazione che, in quanto strutturata e di importanza storica non trascurabile nel Regno Unito, poteva fare qualcosa in più per la protezione dagli attacchi informatici. Voglio però evidenziare l’obiettivo del gruppo RansomEXX. Il movente quando si parla di ransomware, è ovviamente (lo dice la parola stessa) economico. Senza riscatto la gang criminale non guadagna e non può alimentare le future campagne di altre attività criminali. Senza motivazione economica il business criminale va in default.

Anche facendo della semplice ricerca OSINT, si capisce che non si può tirare su la rete in ogni caso, senza avere cortezza di chi ci sia finito dentro. Francamente stavolta, faccio l’analisi, ma stento a capirne il significato che ha spinto questa operazione, al netto della pura e semplice ignoranza criminale. La vittima infatti non potrà mai pagare: neppure nel caso più disperato. Stiamo parlando di ambienti nei quali la gente opera senza retribuzione, e per acquistare qualcosa di indispensabile bisogna fare campagne di sensibilizzazione alla donazione.

RansomEXX pensa forse di poter guadagnare (per quanto si possano definire guadagni quelli di un gruppo criminale) dai risultati delle donazioni di beneficenza che servono per sostenere una visita medica specialistica? Mi sembra un’incognita troppo disorganizzata per rientrare nell’ambito di una gang di ransomware ormai nota.