Anche prima che il ransomware venisse distribuito, il personale HSE ha scoperto la presenza di operatori Conti sulla propria rete, ma non ha fatto nulla.
A quanto pare, l’attacco all’Health Service Executive (HSE) dell’Irlanda, che ha letteralmente paralizzato i sistemi HSE la scorsa primavera, è iniziato grazie all’apertura, da parte di un singolo dipendente, di un file dannoso in un’e-mail di phishing. Lo rende noto un nuovo rapporto della società di revisione PWC.
Ricordiamo che nel maggio di quest’anno il National Health Service of Ireland (Health Service Executive, HSE) è stato costretto a chiudere temporaneamente i propri sistemi informatici a causa di un attacco informatico operato dal gruppo ransomware Conti. A seguito dell’incidente, i dati medici e personali dei pazienti delle istituzioni mediche irlandesi sono stati divulgati su Internet. Secondo le stime del capo dell’amministrazione britannica per la sicurezza e la salute sul lavoro Paul Reid, l’attacco informatico potrebbe costare al governo 100 milioni di euro. E tutto questo perché uno dei dipendenti ha aperto una lettera di spam che gli è arrivata via e-mail, hanno detto gli esperti di PWC.
“L’infezione da malware è stata il risultato dell’apertura da parte di un utente di una workstation che è diventata il paziente zero, un file Microsoft Excel dannoso allegato a un’e-mail di phishing inviata il 16 marzo 2021”, afferma il rapporto.
Peggio ancora, anche prima che il ransomware fosse distribuito, il personale HSE ha scoperto la presenza di operatori Conti, il gruppo WizardSpider, sulla loro rete, ma non ha fatto nulla, il che ha portato alla riuscita detonazione del malware. Le soluzioni antivirus installate sugli endpoint sono state rilevate da Cobalt Strike e Mimikatz, ma la direzione HSE ha scelto di non fare nulla al riguardo.
Il National Cyber Security Center (INCSC) irlandese ha chiamato il payload finale, eseguito due mesi dopo che i criminali hanno ottenuto l’accesso iniziale, Conti v3.
Secondo PWC, il gruppo WizardSpider probabilmente “ha sfruttato una vulnerabilità nota ma senza patch” per ottenere l’accesso al dominio di Active Directory. Gli esperti non hanno specificato di che tipo di vulnerabilità si stia parlando, il che significa che potrebbe ancora rimanere senza patch di aggiornamento.
