Si apre un nuovo capitolo nell’attacco ransomware che il 3 giugno scorso ha colpito i sistemi informativi della Synnovis, società di analisi cliniche diagnostiche che opera come fornitore unico delle strutture Guy’s and St Thomas’ NHS Foundation Trust e King’s College Hospital ma che serve anche altre strutture sanitarie del distretto londinese: dopo aver messo in ginocchio l’erogazione dei servizi sanitari in tutta l’area sud di Londra la gang Qilin, responsabile dell’attacco, ha prima intimato il pagamento del riscatto entro il 20 giugno e poi, a fronte della risposta negativa ricevuta, ha successivamente resi pubblici quasi 400 Gb dei dati sottratti alla società.
L’attacco ha determinato il completo blocco dell’operatività della società specializzata negli esami del sangue, rendendo molto difficile per gli ospedali svolgere quelle attività, come le trasfusioni, che richiedono tali analisi.
Ad oggi sarebbero saliti a più di 1500 gli interventi ospedalieri o ambulatoriali che sono stati annullati o rinviati a causa delle difficoltà insorte per il blocco dei sistemi di Synnovis.
L’intervista di Qilin alla BBC
La pubblicazione dei dati non dovrebbe aver sorpreso il management di Synnovis né le autorità sanitarie dell’NHS e le altre autorità di polizia che stanno indagando sull’attacco: nei giorni precedenti era stata la stessa cybergang Qilin a preannunciare il leak massivo dei dati nel corso di un’intervista rilasciata da uno dei membri coperto da anonimato alla BBC.
Nel corso della stessa intervista la BBC aveva anche ricevuto un campione dei dati che oggi Qilin ha resi di pubblico dominio, dati che contenevano nome e cognome di pazienti, numeri di iscrizione all’NHS nonché altri dettagli sensibili quali quelli relativi ad eventuali patologie sessualmente trasmissibili. L’elenco pubblicato include anche documenti amministrativi relativi ai rapporti tra Synnovis e gli ospedali di cui è fornitore.
I cybercriminali hanno inoltre dichiarato alla BBC di aver scelto consapevolmente la vittima del loro attacco e di essere perfettamente a conoscenza delle conseguenze rovinose che il loro attacco avrebbe apportato al sistema sanitario inglese.
Malgrado questa affermazione, gli stessi si sono dichiarati dispiaciuti e vicini ai cittadini inglesi vittime delle loro azioni ma non disponibili a prendersi la responsabilità dei disagi e del caos generato in quanto – a loro dire – il vero colpevole sarebbe il governo inglese che “don’t even put a penny on the lives of those who fight on the front edge of free world” ovvero non avrebbe versato neanche un centesimo a coloro che combattono in prima linea una non meglio specificata guerra per il mondo libero e che, a causa di ciò, anche i connazionali dei membri della Qilin starebbero subendo conseguenze simili a quella patite dagli utenti inglesi dell’NHS.
Questa dichiarazione ha indotto alcuni esperti a rivedere l’iniziale conclusione che dietro Qilin, il cui nome si ispira a una figura mitologica cinese, ci sarebbe la Russia.
D’altro canto, già Ciaran Martin, ex responsabile del National Cyber Security Centre, intervistato dalla BBC nei giorni immediatamente successivi all’attacco, aveva dichiarato che era sì plausibile che i membri di Qilin fossero russi ma non direttamente collegati al governo di Putin e che la motivazione più probabile dell’attacco fosse l’estorsione.
Si tratta della prima volta che la cybergang Qilin dichiara una motivazione politica come movente delle sue azioni di estorsione e altri esperti, come Louise Ferrett, analista senior di Searchligh Cyber, hanno liquidato questa mossa come pura nebbia informativa, ipotizzando che sia solo un escamotage adottato vista la risonanza mediatica che il loro attacco ransomware ha scatenato.
Il riscatto
Mentre non è stato ancora accertato né se i dati pubblicati siano effettivamente quelli di Synnovis né se i 400 GB siano la totalità di quelli in possesso della cybergang, è stata invece resa nota l’entità del riscatto chiesto da Qilin alla sua vittima: si tratta della ragguardevole cifra di 50 milioni di dollari (ca. 40 milioni di sterline).
I cybercriminali avevano concesso 120 ore a Synnovis per pagare tale somma, minacciando che se entro il 20 giugno non fosse stato pagato il riscatto avrebbero pubblicato i dati in loro possesso. Questo è ciò che è poi effettivamente successo ma è probabile che i dati pubblicati siano solo una parte di quelli esfiltrati e che i cyber criminali proporranno nuovi ultimatum per spingere la società a rivedere la sua posizione o, quantomeno, ad avviare un negoziato.
In un’altra intervista rilasciata al sito The Register, i criminali avevano dichiarato di considerare tale cifra “equa” e di ritenere sufficiente il tempo concesso alla società per decidersi a sottostare al ricatto.
Malgrado la pressione esercitata, non sarà facile per la cybergang ottenere un riscatto, anche rivedendo decisamente al ribasso la cifra richiesta in prima battuta.
Come vi avevamo raccontato, le autorità inglesi, che sono state coinvolte da subito e stanno seguendo da vicino l’evoluzione dell’attacco, si stanno progressivamente orientando verso una linea di fermezza nei confronti delle gang di cyberestorsori, rifiutando a priori qualsiasi cedimento, anche quando le conseguenze da sopportare sono gravose e si ripercuotono anche su ignari cittadini.
E questo orientamento potrebbe essere mantenuto malgrado il governo uscente Sunak si trovi in un delicato momento della campagna elettorale e avrebbe tutto l’interesse a far rientrare la crisi sanitaria prima possibile.
In effetti, per chi è abituato alle campagne elettorali italiane risulta abba sorprendente verificare che la stampa inglese ha dato ampio risalto e copertura alla notizia ma quasi mai l’argomento è stato usato contro il governo in carica, limitandosi al massimo a puntare il dito sugli Stati stranieri che potenzialmente potrebbero aver avuto interesse a innescare la crisi.
Una possibile spiegazione la offre Tim Stevens, capo del gruppo di ricerca sulla cybersecurity del King’s College London (KCL), secondo il quale il tema della cybersecurity mal si adatta a diventare terreno di scontro politico per la necessità di approfondire dettagli tecnici e per la difficoltà a mantenere il confronto politico su temi alti e di interesse per gli elettori.
Infine, rimanendo nel parallelo Italia-UK, va ricordato che la Regione Lazio nel 2021, in piena epoca Covid, era stata colpita da un attacco ransomware ai sistemi informativi che aveva complicato le operazioni di vaccinazione e che, analogamente al caso inglese, si era poi vista pubblicare alcuni dati esfiltrati per essersi rifiutata di pagare il riscatto richiesto, finendo poi sanzionata dal Garante per la Privacy per le violazioni emerse a seguito del leak.