L'attacco è avvenuto nella notte del 6 Febbraio: il gruppo ransomware responsabile della campagna Ragnar0k ha fatto irruzione nei sistemi IT del Laboratorio Analisi di Valdes a Cagliari. Come ormai da tradizione, gli attaccanti non si sono limitati a criptare i dati e richiedere un riscatto, ma hanno anticipato la routine di criptazione con un massivo furto dati. Il data breach ha riguardato dati estremamente sensibili, personali e sanitari: certificati di positività al Covid, referti, prenotazioni visite ambulatoriali e test di laboratorio, documenti economici e sanitari di vario tipo, attestati di qualità ecc... A tutt'ora non è chiaro il numero delle persone i cui dati risultano violati. 

Per approfondire >> Un attacco Ransomware è da considerarsi anche un databreach: l'esempio dell'attacco a Luxottica 

L'azienda ha comunque deciso di non cedere al ricatto e, per quanto si sa ad ora, si è rifiutata di pagare il riscatto allertando immediatamente la Polizia Postale oltreché, come fa sapere il titolare Enrico Valdés, il Garante per la protezione dei dati personali: tutto secondo legge, dato che il GDPR obbliga le aziende che subiscono un data breach a comunicarlo entro 72h. Non si sa invece se sia stata inviata una comunicazione ai clienti (anche questa obbligata da previsioni di legge): l'avviso ufficiale di comunicazione del data breach è arrivato comunque con grande ritardo, cioè soltanto oggi Lunedì 22 Febbraio. 

Nel testo l'azienda dichiara di aver proceduto al ripristino dei dati "resi inintelligibili dall’evento malevolo, garantendo in tal modo la disponibilità dei dati stessi e la continuità del servizio verso gli utenti", ma, consapevole del rischio concreto di data breach, avvisa i clienti di prestare attenzione a eventuali email sospette o chiamate / SMS: oltre al furto di identità infatti, le vittime di un data breach corrono solitamente anche il rischio di subire tentativi di truffa. 

Le immagini sotto mostrano alcuni screenshot che gli attaccanti hanno pubblicato sul loro sito di leak, come da consuetudine ormai nel mondo ransomware, per provare il furto dei dati:

Ragnar0k in breve
Ragnar0k pare essersi "affezionato" all'Italia, infatti i Laboratori Valdes non sono la prima vittima nel nostro paese: il gruppo ha colpito in precedenza anche la MEDICAIR ITALIA SRL (Chemical Wholesalers Industry) di Origgio, la SEMANTICA SRL di Forlì, l'EURAPO SRL di Pordenone e la MORESCHI SPA di Vigevano. 

E' una famiglia ransomware piuttosto nuova, nota per condurre attacchi mirati contro server Citrix ADC non patchati vulnerabili all'exploit per la vulnerabilità CVE-2019-19781 (ma non solo). Il problema della vulnerabilità sfruttate si è fatto così pressante da aver spinto Citrix a rilasciare un fix permanente contro gli exploit di questa vulnerabilità. 

Quando gli attaccanti riescono a compromettere un server vulnerabile, scaricano vari script coi quali viene eseguita una scansione dei computer Windows vulnerabili ad EternalBlue (ricordate?). Se viene individuato un dispositivo vulnerabile, si avvia subito il tentativo di exploit, quindi viene iniettata la DLL che scarica e installa il ransomware Ragnar0k. 

Ragnar0k, dotato di meccanismi per escludere dalla criptazione dispositivi con ID linguaggi Windows riferiti a paesi come Russia, Bielorussia, Ucraina, Lituania, Turkmenistan ecc.., ha anche qualche arma da tentare contro Windows Defender. E' raro, ma più Windows Defender si fa solido come soluzione antivirus, più diviene bersaglio di vari malware. Ragnar0k è uno dei pochi ransomware che tenta di disabiliatare alcune funzionalità di Windows Defender aggiungendo i seguenti criteri nelle policies gruppi:

Inoltre cancella la Shadow Volume Copies, impedendo il recupero dei file e il rispristino del sistema (a meno che non sia presente un backup). 

Le estensioni di criptazione ad oggi conosciute sono .thor e .ragnarock