Aziende sanitarie ed ospedali sotto attacco, cosa sappiamo?

Nelle ultime ore gli attacchi alle ASL stanno monopolizzando la cronaca, in realtà si tratta di un trend pericoloso che va avanti da mesi. I non addetti ai lavori potrebbero pensare che si tratti di una strategia adottata da un attore malevolo per mettere in ginocchio servizi essenziali in un momento critico come quello che stiamo vivendo, purtroppo le ragioni della disfatta sono ben altre. Senza andare troppo in là nel il tempo soffermiamoci agli eventi delle ultime ore partendo dall’attacco all’ULSS6 Euganea di Padova. Dietro la maggior parte di questi attacchi vi sono gruppi specializzati in attacchi ransomware, quindi dall’indiscussa motivazione finanziaria.

L’obiettivo di questi criminali è colpire il maggior numero di infrastrutture e piegarle alle loro richieste economiche dopo aver cifrato di dati e minacciato le vittime di pubblicarle in caso di mancato pagamento. Va detto tuttavia che alcune gang si sono sempre dichiarate contrarie a colpire aziende sanitarie in un momento in cui il mondo si confronta una pandemia che continua a tenerci in scacco. Tornando all’ULSS6 Euganea di Padova, dietro l’attacco troviamo una delle principali gang ransomware nota come LockBit 2.0.

Il gruppo ha pubblicato nel fine settimana i dati dell’azienda sanitaria non essendo stato pagato il riscatto. Come accade in tutti gli scenari di attacchi ransomware a doppia estorsione, ad attacco avvenuto, viene stabilita una scadenza oltre la quale se il riscatto non è pagato dalle vittime si procede alla pubblicazione delle informazioni sottratte alle vittime su un sito ospitato nella rete Tor. Nel caso della ULSS6 Euganea di Padova il termine ultimo per il pagamento era stato prolungato al 18 Gennaio, ma evidentemente il gruppo criminale certo del fallimento della trattativa ha rilasciato le informazioni nel weekend. Le cartelle pubblicate, riportanti le date della presunta intrusione (ovvero 6 e 7 dicembre), sono piene di documenti, secondo i media ben 9.300 file di vario tipo, come Office e PDF.

Le informazioni in esso contenute sono le più disparate, dagli esiti dello screening COVID19 sul personale medico, alla turnazione del personale e le buste paga di addetti alla struttura colpita. A preoccupare anche il volume di informazioni relative ai pazienti, compresi referti e diagnosi di vario tipo. Va detto che il volume delle informazioni pubblicate è inferiore a quello atteso, e questo può avere due spiegazioni, o i criminali ritengano che la pubblicazione possa rimettere in piedi una trattativa per evitare il rilascio della parte restante, oppure la gang ransomware sta già tentando di vendere le informazioni nei numerosi forum underground specializzati.
Ma passiamo ad un altro caso, l’attacco all’ASL Napoli 3 Sud, che ho analizzato con il collega Dario Fadda, esperto di cyber security e security blogger.

Ad oggi l’ASL campana non aveva fornito informazioni relative alla tipologia di attacco subito, nei comunicati stampa che si sono susseguiti si è parlato solo di gravi problemi causati da una intrusione informatiche. I disservizi in effetti pare siano stati importanti, la complessa macchina per la gestione delle quarantene è andata in tilt per l’indisponibilità dei sistemi usati per la registrazione degli esiti dei tamponi. Tantissimi i nuclei familiari bloccati in casa in quarantena in attesa dell’esito del tampone che ne attesterebbe la guarigione.

Cosa potrebbe essere accaduto? In molti abbiamo immediatamente pensato ad un attacco ransomware viste le problematiche occorse all’indomani dell’incidente. Il 14 gennaio è arrivata la rivendicazione di una gang ransomware dal nome Sabbath (54bb47h) che ha anche pubblicato un sample a dimostrazione dell’attacco.

Ancora una volta ci troviamo dinanzi ad un archivio pieno di dati sensibili la cui divulgazione ha importanti ripercussioni sulla privacy e sicurezza degli utenti. Sono infatti finiti in mani non autorizzate, una moltitudine di file sensibili per la privacy e la salute del cittadino, nonché per la sicurezza della struttura sanitaria stessa. Nel caso dell’ASL campana gli attaccanti sono riusciti a penetrare l’infrastruttura IT dopo aver compromesso un fornitore di servizi tecnologici del quale la Regione Campania è appaltatrice. Questo aspetto è molto preoccupante e porta alla memoria quanto accaduto alla Regione Lazio lo scorso anno. Un attacco ad un fornitore di servizi può avere un impatto drammatico su tutte le altre strutture (pubbliche o private) che si affidano a tale fornitore. Nel caso dell’ASL Napoli 3 SUD non è stato reso noto il nome del fornitore. Altro dettaglio tecnico emerso a seguito della rivendicazione riguarda il datacenter del fornitore preso di mira, al quale sono stati crittografati 42 server contenenti 240 Virtual Machines, che ospitavano i dati dei loro clienti, compresi quelli della ASL Napoli 3 Sud.

Questa infrastruttura era protetta da una tecnologia di PaloAltoNetworks che si chiama IDS Cortex XDR, evidentemente non adeguatamente configurata. Andando nel dettaglio di questo secondo attacco, nell’archivio di 1.5 GB rilasciato sono presenti documenti personali, non di lavoro, dati dei cittadini salvati in normali file Excel senza alcuna protezione, informazioni relative prenotazioni di visite mediche, ricette mediche, buste paga ed una moltitudine di documenti interni. Per i più curiosi, vi rimando ad una analisi di dettaglio dei contenuti rilasciati dalla gang e pubblicata da Fadda sul suo blog.

Tutte questi dati erano disponibili sulle singole stazioni di lavoro alla mercè di chiunque, evidenza della scarsa consapevolezza sulle minacce cibernetiche ed i rischi informatici. Il coinvolgimento di un fornitore di servizi di terze parti evidenzia l’importanza di garantire la sicurezza dell’intera filiera. Quest’attacco potrebbe avere ripercussioni su diverse strutture che evidentemente sono facile obiettivo anche per le scarse misure di sicurezza implementate. Il problema è purtroppo nel management della maggior parte delle strutture sanitarie, spesso orfane di un esperto IT e di un CISO cui affidare il compito di garantire la sicurezza dell’infrastruttura. I sistemi sanitari sono un facile bersaglio di gruppi criminali che riescono in diversi modi a capitalizzare i propri sforzi, dagli attacchi ransomware alla rivendita di informazioni del dark web. Come dicevamo all’inizio, non si tratta di una strategia mirata, molto spesso le strutture sanitarie sono facilmente individuabili online grazie analisi a “strascico” condotte da gruppi criminali alla ricerca di sistemi esposti vulnerabili esposti in rete.

Altrettanto semplice è trovare nei vari archivi disponibili nei molteplici forum di hacking, i dati del personale di queste strutture, informazioni che possono essere utilizzate per accedere ai loro sistemi. A conferma dell’appetibilità delle aziende del comparto sanitario i dati che emergono dal Rapporto Clusit 2021, annualmente redatto dall’associazione Italiana per la Sicurezza Informatica, secondo cui gli attacchi nel settore della sanità sono aumentati del 19% nel periodo nel semestre gennaio-giugno 2021. Secondo il Clusit si tratta del settore più colpito a livello globale, dopo la Pubblica Amministrazione.

Abbiamo realmente intenzione di restare a guardare? Ovviamente no. Le agenzie nazionali deputate alla difesa cibernetica sono in piena attività, è una corsa control il tempo, tuttavia è necessario un cambio di approccio alla sicurezza da parte di enti pubblici ed organizzazioni private, non mi stancherò mai di sottolineare che la spesa in sicurezza è un investimento e non un costo da ridurre.

Similar Articles

Comments

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Advertismentspot_img

Instagram

Most Popular