Lo riporta il sito di QuAS – Cassa Assistenza Sanitaria Quadri – che ha lo scopo di garantire ai dipendenti con qualifica di “Quadro” assistenza sanitaria integrativa al Servizio sanitario nazionale.
INPS Servizi S.p.A., socio unico INPS, il 18 novembre ha subito un attacco informatico di tipo ransomware.
Lo riporta il sito di QuAS – Cassa Assistenza Sanitaria Quadri – che ha lo scopo di garantire ai dipendenti con qualifica di “Quadro” assistenza sanitaria integrativa al Servizio sanitario nazionale. QuAS precisa che “L’evento non è in alcun modo riconducibile a QuAS, ma riguarda esclusivamente i sistemi di Inps Servizi e non ha avuto nessun effetto sui sistemi informatici di QuAS.”
Sembrerebbe che l’attacco informatico sia da attribure al collettivo di criminal hacker Lynx. Ad oggi, 21 novembre 2024 alle ore 10:20, il portale ufficiale dell’azienda (www.inpsservizi.it) non risulta ancora raggiungibile.
INPS servizi cosa fa
INPS Servizi SpA è una società per azioni in house providing interamente partecipata da INPS, sorta in data 11 giugno 2021. INPS Servizi gestisce il servizio di Contact Center Multicanale per l’utenza dell’Istituto. Fornisce servizi amministrativo contabili a enti e casse previdenziali ed assistenziali, pubblici e privati, e a enti bilaterali, nonché servizi connessi ai compiti istituzionali di INPS.
Il gruppo di criminal hacker Lynx
Il gruppo hacker Lynx è un’organizzazione relativamente nuova nel panorama del ransomware, identificata per la prima volta nel luglio 2024. È considerato una rebranding del precedente gruppo INC ransomware, da cui ha ereditato gran parte del codice e delle tecniche. Questo gruppo utilizza attacchi basati su doppia estorsione, combinando il furto di dati con la loro crittografia per poi minacciare di pubblicarli se il riscatto non viene pagato.
Lynx dichiara di seguire un’etica di “non danneggiare istituzioni governative, ospedali e organizzazioni no-profit”, sebbene alcuni esperti ritengano queste affermazioni strategiche per evitare eccessiva attenzione da parte delle forze dell’ordine. Le sue vittime includono settori come la finanza, il manifatturiero e l’architettura, sfruttando vulnerabilità nei permessi di file e tecniche avanzate di crittografia per rendere i file inaccessibili. Inoltre, Lynx utilizza phishing mirati per diffondere il malware.
Dal punto di vista tecnico, il ransomware impiega algoritmi moderni come ECC (Elliptic Curve Cryptography) e AES, insieme a metodi per eludere la sicurezza informatica standard, come l’escalation dei privilegi e la terminazione dei processi di sistema che interferiscono con l’attacco. Il ransomware appone un’estensione .LYNX ai file cifrati, accompagnando ogni attacco con una nota di riscatto criptata in Base64.
Nonostante la sua recente comparsa, Lynx si è rapidamente diffuso, suscitando preoccupazioni per la sua capacità di evolversi e di causare danni significativi alle aziende. Le indagini mostrano che l’obiettivo primario del gruppo rimane finanziario, con un’enfasi sulle tattiche di coercizione per ottenere pagamenti.
Il tipo di ransomware
Il ransomware utilizzato dal gruppo Lynx si distingue per alcune caratteristiche tecniche avanzate e per la sua origine: è una versione modificata del ransomware precedentemente noto come INC ransomware, con cui condivide circa il 70% del codice.
Caratteristiche principali
- Crittografia avanzata:
- Utilizza una combinazione di algoritmi ECC (Elliptic Curve Cryptography) e AES (Advanced Encryption Standard), garantendo che i file cifrati siano estremamente difficili da decrittare senza la chiave privata.
- I file cifrati ricevono l’estensione
.LYNX.
- Doppia estorsione:
- Lynx combina il furto di dati con la loro cifratura. Minaccia di pubblicare i dati sensibili delle vittime su un blog pubblico ospitato nel dark web se non viene pagato il riscatto.
- Tecniche di evasione:
- Utilizza meccanismi di escalation dei privilegi per aggirare le restrizioni di accesso ai file. Ad esempio, sfrutta il privilegio
SeTakeOwnershipPrivilegeper modificare i permessi di sicurezza dei file e garantirne la cifratura. - Integra l’uso dell’API Restart Manager per chiudere processi che potrebbero ostacolare l’attacco, evitando però di terminare processi critici per non attirare attenzione.
- Utilizza meccanismi di escalation dei privilegi per aggirare le restrizioni di accesso ai file. Ad esempio, sfrutta il privilegio
- Distribuzione:
- Si diffonde tramite campagne di phishing mirate e download di file dannosi. Questi metodi consentono al gruppo di colpire specifiche organizzazioni nei settori della finanza, manifattura e architettura.
- Obfuscazione:
- Nasconde i messaggi di riscatto in testo Base64 codificato, decodificabile solo con specifiche chiavi fornite dal gruppo agli utenti colpiti.
Impatto e prevenzione
La sofisticazione del ransomware Lynx, unita a tecniche di coercizione aggressive, lo rende una minaccia significativa. Per proteggersi, si raccomanda di:
- Implementare backup regolari dei dati.
- Addestrare il personale a riconoscere email di phishing.
- Utilizzare software di sicurezza aggiornati e adottare politiche di autenticazione a più fattori.
