Questa è la storia del caso Virgin Pulse, attaccata dal gruppo ransomware Cl0p che, come si può intendere, non riveste importanza fine a se stessa, ma una fitta supply chain difficile da ricostruire per intero, i cui pezzi però iniziano a prendere forma. Ecco come Ransomfeed scopre i collegamenti tra i criminali di Cl0p, l’attacco a Virgin Pulse e l’attacco a Welltok.
A Giugno 2023(1) il gruppo ransomware Cl0p si rende artefice di molti attacchi ad aziende americane (e non) sfruttando una vulnerabilità nel sistema di trasferimento files MOVEit.
Grazie a questa vulnerabilità, si stima che le vittime siano oltre 75 milioni in tutti gli Stati Uniti – senza considerare le vittime “a cascata”, con un impatto economico da miliardi di dollari.
In data 26 Luglio 2023(2) Cl0p pubblica la rivendicazione di un attacco a Virgin Pulse, piattaforma di Healthcare e Wellbeing del gruppo Virgin. L’attacco informatico a Virgin Pulse non ha suscitato grande clamore tra la stampa internazionale: la risonanza è stata data all’acquisizione di Welltok e alla fusione con HealthComp. Poche testate, spesso di settore, hanno riportato la notizia del data breach di una delle più grandi aziende nel settore sanitario privato(3).
L’attacco potrebbe sembrare l’ennesimo colpo clamoroso di una Big violata, ma nasconde qualcosa di più.
Welltok è uno dei più grandi gestori di servizi sanitari e di benessere americano; oltre al management dei dati (database con dati personali) si occupa di analizzare i trend di mercato e di affinare strategie riguardanti esigenze sanitarie di varia natura: dal picco influenzale di stagione alla pandemia.
Il 24 Ottobre 2023(4) Welltok pubblica una nota riguardante una violazione subita (il 26 Luglio 2023) che ha esposto i dati personali di quasi 8.5 milioni di pazienti negli Stati Uniti. La nota precisa che l’attacco è stato condotto attraverso il sistema di trasferimento dati MOVEit.
Il danno è ingente: sono stati esposti i dati completi dei pazienti (nome, cognome e indirizzo), gli indirizzi email, numeri di telefono, numeri di previdenza sociale (SSN), i numeri di identificazione Medicare/Medicaid e alcune informazioni sull’assicurazione sanitaria.
Virgin Pulse ha completato l’acquisizione di Welltok nel Novembre 2021(5), ampliando così la sua offerta come Health&Wellbeing provider, aumentando attivazioni e fatturato già nel primo anno post acquisizione; uno step successivo, previsto nel piano di Virgin Pulse, è stato quello di finalizzare la fusione(6) con HealthComp USA (servizio di amministrazione indipendente conto terzi) e diventare così il primo platform-as-a-service del settore sanitario.
Ad oggi, quindi, non deve sorprendere che una società come Welltok sia stata violata tramite vulnerabilità MOVEit: l’entry point per accedere al SaaS è stata proprio Virgin Pulse. Non è da escludere che altre aziende possano subire – o abbiano già subito – la stessa esposizione.
Sul DLS (dark leak site) del gruppo cl0p la rivendicazione verso Welltok non è presente, una scelta probabilmente ben calibrata, considerando la relazione tra il SaaS e Virgin Pulse, azienda della quale si trova una traccia nitida.
Dall’inizio del 2023 sono stati 4281 gli attacchi ransomware nel mondo, di cui 1982 solo in USA; rispetto al 2022 il numero è aumentato esponenzialmente e le previsioni per il 2024 non sono incoraggianti.
Questa la situazione, ad oggi (26 Novembre 2023) dei gruppi più attivi(7):
Con una media di circa 85 attacchi unici al mese(8) Lockbit3 è, in assoluto, il gruppo più attivo sulla scena.
SETTORE LAVORATIVO | COUNT |
Manufacturing | 447 |
Technologies | 270 |
Healthcare services | 205 |
Services | 185 |
Construction | 169 |
Unknown | 124 |
Financial organizations | 111 |
Schools | 106 |
Food and drinks businesses | 101 |
Consulting | 98 |
Heavy industries | 87 |
Logistics | 83 |
Universities | 83 |
Retail (distribution) | 82 |
Insurance services | 81 |
Attorney | 80 |
Engineering consulting | 77 |
Automotive | 76 |
Legal consulting | 70 |
Information Technologies Consulting | 64 |
Health | 60 |
Human Services | 58 |
Telecommunications | 52 |
Business Services | 51 |
Banking institutions | 48 |
Distribution | 48 |
Utility | 46 |
Finance | 46 |
Agriculture and agribusiness | 42 |
Education | 42 |
Architecture | 41 |
Transport | 40 |
Energy | 39 |
Pharmacy and drugs manufacturing | 36 |
Hotel | 33 |
Shops | 32 |
Healthcare research | 31 |
Oil | 30 |
Local administrations | 29 |
High-tech | 25 |
Electricity | 25 |
Lodging industry | 25 |
Entertainment industry | 25 |
Marketing | 24 |
Central administration and government | 24 |
Hospitality | 22 |
Medias and audiovisual | 21 |
Government and administrations | 21 |
Culture and entertainment | 20 |
Market infrastructures | 20 |
Apparel | 20 |
Road transport | 20 |
Luxury | 19 |
Renewable energies | 18 |
Maritime transport | 17 |
Airlines | 17 |
Mining | 17 |
Sports | 16 |
Internet Service providers | 16 |
Research | 16 |
Legislative branch (parliamentary chambers) | 15 |
Travel and tourism industry | 14 |
Human Resources | 14 |
Non-Governmental Organizations (NGOs) | 14 |
Personal care | 14 |
Citizens | 13 |
Civil society | 13 |
Church | 12 |
Air transport | 12 |
Hosting service providers | 10 |
Cloud service providers | 10 |
Culture | 9 |
Digital infrastructures | 8 |
Gas | 6 |
Defense | 6 |
Public Health | 5 |
Wealth Management | 4 |
Avionics | 4 |
Gambling | 4 |
Defense ministries (including the military) | 4 |
Water distribution and supply | 4 |
Judicial power (justice) | 4 |
Development | 4 |
International organizations | 4 |
Defense industry | 4 |
Rail transport | 3 |
Academic Institutions | 3 |
Charity associations | 3 |
Fintech | 2 |
Political parties | 2 |
Public sector | 2 |
Training | 2 |
Flight | 2 |
Critical Industries | 1 |
Think tanks | 1 |
Defense research and development | 1 |
Manca una consapevolezza della sicurezza dei propri sistemi, troppo spesso; e mancano spesso team di specialisti che si impegnino attivamente per mettere in atto piani a breve, medio e lungo termine.