Si chiama Sabbath ed è un collettivo criminale che da qualche anno pratica attacchi nel mondo sanitario
È salito agli onori delle cronache un gruppo cyber criminale, identificato con il nome Sabbath. Avrebbe fatto la sua prima comparsa nell’ottobre 2021, contestualmente all’apertura di un portale di pagamento ransomware (ovvero, riscatti digitali). Ma secondo alcuni osservatori le origini di Sabbath si radicherebbero ben più indietro. Le prime tracce di questo collettivo criminale sarebbero, infatti, riconducibili a luglio 2020, ma con un altro nome e attacchi ransomware tradizionali, ripetuti anche nel 2021.
Per capirne di più su questo gruppo, capace di evolvere con operazioni da campagne di attacco ransomware tradizionali, alle moderne e redditizie pratiche criminali di doppia estorsione, abbiamo coinvolto l’Avvocato Europeo Zulay Manganaro Menotti.
Avvocato Menotti, Sabbath (o 54bb47h), il gruppo ransomware già da tempo attivo, è una sorta di collettivo criminale che si muove sulla rete. In cosa è specializzato e dove sta operando con violazioni piuttosto eclatanti?
Il ransomware Sabbath – in precedenza attivo come Arcane ed Eruption – ha colpito dei settori estremamente delicati e sensibili: assistenza sanitaria e infrastrutture critiche ma non solo. I ricercatori di Mandiant (società americana specializzata in sicurezza informatica, n.d.r.) in generale e Tyler McLellan in particolare, ci hanno aiutato a capire retroscena e dettagli di fondamentale importanza. Partiamo da un codice alfanumerico, UNC2190, capace di evolversi e pronto a bersagliare sistemi scolastici e ospedalieri, mire favorite poiché terreno fertile per tenere in scacco quantità notevoli di dati qualificabili spesso come “particolari” in quanto degni di un livello di tutela più elevato dell’ordinario. Pensiamo semplicemente alle buste paga del personale medico; agli esiti dello screening Covid 19 del personale stesso; ma anche ai dati dei pazienti, i loro referti, le diagnosi… che per disposizioni di legge devono essere protetti con tecniche più sofisticate. Insomma, questo è solo un assaggio del bottino che possono ottenere tali intrusioni informatiche, le quali pubblicano i dati in caso di mancato pagamento da parte della struttura colpita.
Perché, a suo modo di vedere si è così focalizzato in operazioni che riguardano il mondo sanitario?
Scopo ultimo delle dinamiche di un termine adattabile a una classe di malware (vale a dire un software malevolo, in estrema sintesi un programma /codice dannoso e pregiudizievole per un sistema), è l’estorsione digitale contro vittime spinte a un pagamento. Diciamo che vi è un’indiscussa motivazione finanziaria negli attacchi perpetrati, anziché la volontà di mettere in ginocchio le strutture maggiormente colpite e vulnerabili in tempi di pandemia che, ancora oggi, sono particolarmente sollecitate.
Si fa leva sulla natura dei dati, poiché il mancato pagamento da parte del soggetto vittima di estorsione può innescare conseguenze disastrose. Immaginiamo, ad esempio, il blocco del sistema di gestione delle quarantene e il mancato invio dell’esito dei test molecolari a migliaia e migliaia di utenti.
Di recente, anche la Croce Rossa è stata vittima di un attacco che pare abbia interessato i dati di oltre 500'000 individui. Ebbene, operando essa nel campo dei diritti umani e della migrazione, possiamo capire che anche la portata di tali dati sia strettamente legata a una categoria di informazioni estremamente delicate, ancora una volta per esplicite disposizioni normative.
In che modo le organizzazioni colpite possono difendersi giuridicamente? Esistono dei professionisti che in punta di diritto riescono a ottenere giustizia su queste azioni criminali specifiche?
Il metodo di pagamento richiesto e che ancora oggi va per la maggiore è la criptovaluta (e Bitcoin ne è il baluardo). Oltre alle attività cosiddette virtuose, da adottare internamente (back up, aggiornamenti, antivirus, formazione del personale, continuo aggiornamento sia delle applicazioni sia dei sistemi informativi dotati di apposite certificazioni), dal punto di vista giuridico la soluzione migliore resta quella di rivolgersi alle autorità competenti che adottano provvedimenti di carattere strettamente procedurale uniti all’intervento di tecnici altamente specializzati. Così, per rispondere compiutamente alla Sua domanda, posso accennare al fatto che dal punto di vista legislativo si sta valutando già – in diversi Paesi – di vietare o quantomeno circoscrivere l’utilizzo delle criptovalute, proprio per contrastare l’uso di questo sistema di pagamento che, come già accennato, è il preferito dei pirati del far-web!