Due hacker iraniani accusati mercoledì in un atto d'accusa federale sono stati accusati di aver attaccato le reti informatiche di ospedali e altri obiettivi in ​​43 stati, un'ampia campagna di estorsione criminale che ha devastato un ospedale per il cuore in Kansas e distrutto una delle più grandi società di analisi del sangue diagnostiche della nazione nella Carolina del Nord.

I pubblici ministeri federali hanno affermato che l'ondata di crimini informatici di tre anni ha causato decine di milioni di dollari di danni da costa a costa. Ha segnato il primo atto d'accusa degli Stati Uniti contro hacker stranieri impegnati in un ransomware a scopo di lucro e in uno schema di estorsione.

I due hacker hanno sviluppato strumenti unici per tenere in ostaggio le reti informatiche statunitensi dall'Iran, hanno detto i pubblici ministeri. I due iraniani, Faramarz Shahi Savandi, 34, e Mohammad Mehdi Shah Mansouri, 27, rimanere in libertà, presumibilmente in patria, hanno detto i funzionari.

L'assistente del procuratore generale Brian A. Benczkowski ha elusa la domanda se il governo iraniano abbia sponsorizzato i due, dicendo solo che l'atto d'accusa non contiene tale accusa.

La campagna di ransomware di tre anni ha colpito almeno 200 vittime negli Stati Uniti, riscuotendo oltre 6 milioni di dollari in pagamenti di estorsione e causando perdite per oltre 30 milioni di dollari, Lo ha detto il vice procuratore generale Rod J. Rosenstein.

Il ransomware è un codice informatico che crittografa i sistemi mirati e paralizza le reti finché le vittime non pagano un riscatto, di solito in una valuta digitale come Bitcoin.

Il ransomware iraniano, chiamato Sam Sam, è in uso dall'inizio del 2016.

In una delle prime presunte azioni della squadra iraniana nel 2016, ha colpito i computer del Kansas Heart Hospital di Wichita, con 54 posti letto, che fornisce cure cardiovascolari specializzate per i pazienti in tutto il Kansas e l'Oklahoma settentrionale.

I resoconti della stampa all'epoca dicevano che il Kansas Heart Hospital aveva pagato un riscatto non divulgato, poi ha affrontato nuove richieste da parte degli hacker. Non è stato possibile raggiungere immediatamente la portavoce dell'ospedale Joyce Heismeyer.

Gli hacker hanno violato le reti di almeno sei entità legate all'assistenza sanitaria, tra cui l'Hollywood Presbyterian Hospital di Los Angeles e il MedStar Health della Columbia, Md.

Altri obiettivi della campagna iraniana includevano le reti delle città di Atlanta (criptate a marzo) e Newark, NJ (aprile 2017), il Dipartimento dei trasporti del Colorado (19 febbraio, 2018) e il porto di San Diego (25 settembre, 2018).

I funzionari hanno affermato che gli hacker erano intenti a creare disagi e infliggere danni fisici tanto quanto a raccogliere riscatti, mirando deliberatamente a strutture sanitarie e ospedali.

"Molte delle vittime erano agenzie pubbliche con missioni che comportano il salvataggio di vite e l'esecuzione di altre funzioni critiche per il popolo americano, Lo ha detto il vice procuratore generale Rod Rosenstein.

Gli Stati che hanno subito sei o più attacchi da parte di SamSam includono la California, Texas, Florida, Georgia, Carolina del Nord, Missouri e Illinois, secondo il Dipartimento di Giustizia. Solo sette stati sono sfuggiti a qualsiasi attacco. Il Dipartimento di Giustizia non ha fornito un elenco completo di tutte le vittime note, o dire quali vittime hanno pagato un riscatto.

Alcuni ricercatori di sicurezza si sono chiesti se l'accusa avrebbe intaccato gli attacchi ransomware.

"L'impatto che avranno queste accuse non è chiaro poiché gli individui si trovano presumibilmente in Iran e rimangono in libertà, " ha detto Kimberly Goody, un analista di crimini informatici presso FireEye, una delle principali società di sicurezza informatica.

Uno degli attacchi più recenti si è verificato il 14 luglio contro la Laboratory Corporation of America, o LabCorp, un Burlington, NC, società di diagnostica che elabora più di 2,5 milioni di test a settimana, e detiene un database di pazienti di quasi la metà della popolazione degli Stati Uniti. La sua impronta globale raggiunge 127 paesi.

Un portavoce dell'azienda, Donald R. Von Hagen, ha rifiutato di dire quanti computer sono stati disabilitati quando gli hacker sono penetrati nella rete il 14 luglio.

"Non ci sono prove che i dati di LabCorp siano stati rimossi dai nostri sistemi, " LabCorp ha dichiarato in una dichiarazione del 26 ottobre. Ha affermato che l'attacco ha interessato l'accesso ai risultati dei test per un periodo limitato, ma che "le operazioni sono tornate alla normalità entro pochi giorni".

Molte vittime di SamSam potrebbero aver tenuto per sé gli attacchi, pagando gli hacker e pregando che fosse offerta una chiave in cambio per decrittare le loro reti.

Mentre un numero crescente di vittime di crimini informatici si rivolge alle autorità, Il vicedirettore esecutivo dell'FBI Amy S. Hess ha dichiarato:"Suppongo che non sia ancora la maggioranza".

Sofo, una società di software di sicurezza con sede nel Regno Unito, che ha seguito SamSam per quasi tre anni, ha detto questo mese che un attacco SamSam si verifica in media una volta al giorno. Dice che le richieste di riscatto normalmente superano i 50 dollari, 000.

Ciò che rende unico il ransomware SamSam, dicono gli esperti, è che è fatto su misura per consentire a un criminale informatico di mappare e muoversi attraverso una rete mirata, a differenza di altri ransomware che si diffondono a casaccio in campagne ampiamente visibili agli ingegneri del software.

Gli hacker iraniani hanno creato siti Web personalizzati su reti sotterranee per offrire supporto tecnico alle vittime nel pagamento del riscatto Bitcoin.

In un'azione separata ma coordinata, il Dipartimento del Tesoro ha imposto sanzioni contro altri due iraniani che secondo lui avrebbero facilitato lo scambio di riscatti in Bitcoin in valuta iraniana. Ufficio del Tesoro per il Controllo delle Attività Estere, o OFAC, ha preso la mossa insolita di pubblicare gli indirizzi di valuta digitale utilizzati dai due iraniani e ha affermato di aver condotto almeno 7, 000 transazioni.

I pubblici ministeri hanno affermato che gli iraniani hanno utilizzato transazioni Bitcoin e hanno comunicato tramite TOR, un browser web oscuro che i criminali informatici ritengono protegga l'anonimato.

Ma Hess ha detto che l'FBI è riuscita a sfondare le barriere digitali.

"Gli anonimizzatori potrebbero non renderti anonimo come pensi di essere, " lei disse.

Un esperto di valute digitali, Yaya J. Fanusie, ha affermato che le sanzioni contro i due ulteriori iraniani, Ali Khorashadizadeh e Mohammad Ghorbaniyan, era rivolto al più ampio mondo dei criminali informatici.

"Queste azioni sono un segnale, " disse Fanusi, un ex analista della CIA, aggiungendo che le forze dell'ordine si stanno adattando alle "tecnologie finanziarie emergenti come la criptovaluta".

Fanusie ha affermato che mentre i criminali possono archiviare Bitcoin in portafogli digitali anonimi conservati presso indirizzi di valuta digitale, il movimento delle monete digitali lascia "una traccia pubblica che chiunque può seguire e analizzare".

©2018 McClatchy Washington Bureau
Distribuito da Tribune Content Agency, LLC.