Le organizzazioni sanitarie sotto assedio dal ransomware Trinity
Il settore sanitario affronta una crescente minaccia informatica da parte di una nuova variante di ransomware nota come Trinity . Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) ha emesso un avviso, allertando le organizzazioni del settore sanitario e della salute pubblica sui pericoli incombenti.
Table of Contents
Una minaccia crescente nel ransomware
Rilevato per la prima volta a maggio 2024, Trinity è un ceppo di ransomware relativamente nuovo. Crittografa i file, aggiungendo un'estensione '.trinitylock'. Secondo l'HHS, condivide somiglianze con altre famiglie di ransomware come 2023Lock e Venus. Questi gruppi spesso prendono di mira infrastrutture critiche e Trinity non fa eccezione.
Come altri ransomware, Trinity usa un sito di fuga di notizie per elencare le sue vittime e negoziare con le organizzazioni per la decrittazione dei file. Gli operatori del ransomware esfiltrano i dati prima di bloccare i sistemi per tenerli in ostaggio per ulteriori estorsioni.
Una volta dentro, Trinity usa e-mail di phishing, software vulnerabili e siti Web dannosi per ottenere l'accesso. Quindi, esegue una ricognizione di rete, scansiona i sistemi e si muove lateralmente per elevare i privilegi. Una tattica avanzata che Trinity usa è impersonare il token di processi legittimi per espandere la sua portata all'interno della rete della vittima.
Metodi di crittografia ed estorsione
Dopo aver ottenuto l'accesso completo, Trinity crittografa i file utilizzando un robusto algoritmo di crittografia. I file vengono resi inutili a meno che la vittima non possieda la chiave di decrittazione corretta. Ogni file interessato viene contrassegnato con un'estensione '.trinitylock', che identifica chiaramente i dati crittografati.
Dopo il processo di crittografia, le vittime ricevono note di riscatto in formato testo e .hta, insieme a sfondi desktop modificati che mostrano l'attacco. La nota di riscatto in genere include un URL onion per accedere al sito dell'aggressore e istruzioni per la comunicazione.
Link ad altre famiglie di ransomware
HHS sottolinea che Trinity è sorprendentemente simile alle famiglie di ransomware 2023Lock e Venus. Condividono l'algoritmo di crittografia ChaCha20 e le loro note di riscatto, i nomi mutex e i valori di registro sono quasi identici. Queste profonde connessioni suggeriscono che Trinity potrebbe essere un successore diretto di 2023Lock, rendendolo una minaccia in evoluzione.
Impatto sulle organizzazioni sanitarie
I settori sanitario e della sanità pubblica sono particolarmente vulnerabili. Un'organizzazione sanitaria statunitense è già caduta vittima di questo gruppo e, al momento, il sito di fuga di dati di Trinity elenca cinque vittime. Tra queste, Rocky Mountain Gastroenterology, da cui gli aggressori affermano di aver rubato 330 gigabyte di dati.
Attualmente, non sono disponibili strumenti di decrittazione per il ransomware Trinity, lasciando alle vittime poche opzioni. Mentre alcuni hanno ottenuto un successo parziale utilizzando strumenti di recupero dati, la necessità di una consulenza esperta da parte di professionisti della sicurezza informatica è elevata.
Prepararsi per il prossimo attacco
Il rischio rappresentato da Trinity e da altre famiglie di ransomware per i sistemi sanitari è chiaro. Quali misure dovrebbe adottare la tua organizzazione per prevenire un attacco? Le tue attuali difese sono sufficienti per resistere a una violazione? Misure di sicurezza ponderate e proattive potrebbero fare la differenza tra diventare una vittima o rimanere al sicuro.
