I Forcepoint Security LABs hanno identificato una forma di ransomware, documentata per la prima volta nel settembre 2016, che prende di mira le organizzazioni sanitarie. ‘Philadelphia’, che si ritiene essere una nuova versione di ‘Stampedo’, mostra attualmente degli schemi che potrebbero indicare l’inizio di una campagna di ampliamento di targeting, estesa oltre i perimetri degli Stati Uniti. Venduto per poche centinaia di dollari e promosso su YouTube, fornisce ai criminali, su scala globale, strumenti per attacchi comportamentali molto mirati e convincenti.
L’attacco viene inviato attraverso un’email di spear-phishing contenente loghi personalizzati e nomi del personale, traendo facilmente in inganno i destinatari. Una volta attivata, la variante comunica diverse informazioni, incluso sistema operativo, nome utente, paese e codice sistema al Command & Control centrale e genera un ID vittima, al quale applicare un valore ed un costo di riscatto.
“Durante un’attivita’ di feed del nostro motore di intelligence open source abbiamo scoperto Philadelphia, un ransomware attualmente poco costoso, scritto malamente e disponibile a buon mercato per gli script kiddie – commenta Carl Leonard, Principal Security Analyst di Forcepoint -. Anche se il riscatto ad esso collegato è attualmente solo di 0,3 BTC, gli schemi di comando e controllo suggeriscono che esso si rivolga ad ospedali ed istituti sanitari con una campagna mirata, quindi ci sono molte probabilità che gli obiettivi vengano presto ampliati. Anche se questo potrebbe non sembrare un attacco particolarmente minaccioso per il mondo della sanità, se questa tendenza dovesse prendere piede su piu’ larga scala, potrebbe rappresentare un rischio enorme per il settore stesso”.
