Flash news

Storie dalla piattaforma Ransomfeed. THE MOVEIT FILES: Virgin Pulse + Welltok

Questa è la storia del caso Virgin Pulse, attaccata dal gruppo ransomware Cl0p che, come si può intendere, non riveste importanza fine a se stessa, ma una fitta supply chain difficile da ricostruire per intero, i cui pezzi però iniziano a prendere forma. Ecco come Ransomfeed scopre i collegamenti tra i criminali di Cl0p, l’attacco a Virgin Pulse e l’attacco a Welltok.

THE MOVEIT FILES: Virgin Pulse

A Giugno 2023(1) il gruppo ransomware Cl0p si rende artefice di molti attacchi ad aziende americane (e non) sfruttando una vulnerabilità nel sistema di trasferimento files MOVEit.
Grazie a questa vulnerabilità, si stima che le vittime siano oltre 75 milioni in tutti gli Stati Uniti – senza considerare le vittime “a cascata”, con un impatto economico da miliardi di dollari.

In data 26 Luglio 2023(2) Cl0p pubblica la rivendicazione di un attacco a Virgin Pulse, piattaforma di Healthcare e Wellbeing del gruppo Virgin. L’attacco informatico a Virgin Pulse non ha suscitato grande clamore tra la stampa internazionale: la risonanza è stata data all’acquisizione di Welltok e alla fusione con HealthComp. Poche testate, spesso di settore, hanno riportato la notizia del data breach di una delle più grandi aziende nel settore sanitario privato(3).

Rivendicazione Cl0p di Virgin Pulse, da Ransomfeed.

L’attacco potrebbe sembrare l’ennesimo colpo clamoroso di una Big violata, ma nasconde qualcosa di più.

Welltok è uno dei più grandi gestori di servizi sanitari e di benessere americano; oltre al management dei dati (database con dati personali) si occupa di analizzare i trend di mercato e di affinare strategie riguardanti esigenze sanitarie di varia natura: dal picco influenzale di stagione alla pandemia.

Il 24 Ottobre 2023(4) Welltok pubblica una nota riguardante una violazione subita (il 26 Luglio 2023) che ha esposto i dati personali di quasi 8.5 milioni di pazienti negli Stati Uniti. La nota precisa che l’attacco è stato condotto attraverso il sistema di trasferimento dati MOVEit.

Il danno è ingente: sono stati esposti i dati completi dei pazienti (nome, cognome e indirizzo), gli indirizzi email, numeri di telefono, numeri di previdenza sociale (SSN), i numeri di identificazione Medicare/Medicaid e alcune informazioni sull’assicurazione sanitaria.

Virgin Pulse ha completato l’acquisizione di Welltok nel Novembre 2021(5), ampliando così la sua offerta come Health&Wellbeing provider, aumentando attivazioni e fatturato già nel primo anno post acquisizione; uno step successivo, previsto nel piano di Virgin Pulse, è stato quello di finalizzare la fusione(6) con HealthComp USA (servizio di amministrazione indipendente conto terzi) e diventare così il primo platform-as-a-service del settore sanitario.

Ad oggi, quindi, non deve sorprendere che una società come Welltok sia stata violata tramite vulnerabilità MOVEit: l’entry point per accedere al SaaS è stata proprio Virgin Pulse. Non è da escludere che altre aziende possano subire – o abbiano già subito – la stessa esposizione.

Sul DLS (dark leak site) del gruppo cl0p la rivendicazione verso Welltok non è presente, una scelta probabilmente ben calibrata, considerando la relazione tra il SaaS e Virgin Pulse, azienda della quale si trova una traccia nitida.

Statistiche ransomware

Dall’inizio del 2023 sono stati 4281 gli attacchi ransomware nel mondo, di cui 1982 solo in USA; rispetto al 2022 il numero è aumentato esponenzialmente e le previsioni per il 2024 non sono incoraggianti.
Questa la situazione, ad oggi (26 Novembre 2023) dei gruppi più attivi(7):

  • Lockbit3, 939 attacchi
  • alphv/BlackCat, 386 attacchi
  • cl0p, 382 attacchi
  • play, 249 attacchi
  • 8base, 237 attacchi

Con una media di circa 85 attacchi unici al mese(8) Lockbit3 è, in assoluto, il gruppo più attivo sulla scena.

SETTORE LAVORATIVOCOUNT
Manufacturing447
Technologies270
Healthcare services205
Services185
Construction169
Unknown124
Financial organizations111
Schools106
Food and drinks businesses101
Consulting98
Heavy industries87
Logistics83
Universities83
Retail (distribution)82
Insurance services81
Attorney80
Engineering consulting77
Automotive76
Legal consulting70
Information Technologies Consulting64
Health60
Human Services58
Telecommunications52
Business Services51
Banking institutions48
Distribution48
Utility46
Finance46
Agriculture and agribusiness42
Education42
Architecture41
Transport40
Energy39
Pharmacy and drugs manufacturing36
Hotel33
Shops32
Healthcare research31
Oil30
Local administrations29
High-tech25
Electricity25
Lodging industry25
Entertainment industry25
Marketing24
Central administration and government24
Hospitality22
Medias and audiovisual21
Government and administrations21
Culture and entertainment20
Market infrastructures20
Apparel20
Road transport20
Luxury19
Renewable energies18
Maritime transport17
Airlines17
Mining17
Sports16
Internet Service providers16
Research16
Legislative branch (parliamentary chambers)15
Travel and tourism industry14
Human Resources14
Non-Governmental Organizations (NGOs)14
Personal care14
Citizens13
Civil society13
Church12
Air transport12
Hosting service providers10
Cloud service providers10
Culture9
Digital infrastructures8
Gas6
Defense6
Public Health5
Wealth Management4
Avionics4
Gambling4
Defense ministries (including the military)4
Water distribution and supply4
Judicial power (justice)4
Development4
International organizations4
Defense industry4
Rail transport3
Academic Institutions3
Charity associations3
Fintech2
Political parties2
Public sector2
Training2
Flight2
Critical Industries1
Think tanks1
Defense research and development1
Statistica 2023 dei settori lavorativi per numero di rivendicazioni di tutti i gruppi monitorati.

Manca una consapevolezza della sicurezza dei propri sistemi, troppo spesso; e mancano spesso team di specialisti che si impegnino attivamente per mettere in atto piani a breve, medio e lungo termine.

Fonti citate

  1. https://en.wikipedia.org/wiki/2023_MOVEit_data_breach
  2. https://ransomfeed.it/index.php?page=post_details&id_post=9977
  3. https://www.virginpulse.com/about-us/
  4. https://welltoknotice.wpenginepowered.com/?page_id=23
  5. https://www.virginpulse.com/press-releases/virgin-pulse-completes-acquisition-of-welltok
  6. https://community.virginpulse.com/virgin-pulse-and-healthcomp-health-platform-as-a-service-organization
  7. https://ransomfeed.it/stats.php?page=groups-stats
  8. https://ransomfeed.it/stats.php?page=group-stats-month