La sanità è nel mirino degli hacker informatici: a rischio servizi, dispositivi e privacy degli utenti

Lo sforzo compiuto per far fronte allemergenza dettata dal diffondersi del virus e nel contempo per garantire ai cittadini gli altri servizi essenziali in campo medico, ha esposto la sanità del nostro paese alle attenzioni dei cyber criminali, consapevoli della particolare vulnerabilità del sistema in un contesto di accelerazione dei processi digitali come conseguenza delle restrizioni ai movimenti delle persone e della distanza sociale.

Il risultato è che le strutture sanitarie sono sempre più nel mirino di attacchi hacker. Secondo un recente rapporto di Trend Micro Research, la divisione della multinazionale di software per la sicurezza informatica Trend Micro, nel 2020 sono stati 20.777 i malware unici e 2.063 i ransomware unici che hanno colpito le strutture sanitarie italiane, consegnando al settore più vulnerabile in questa fase storica segnata dalla pandemia il non invidiabile primato degli attacchi informatici subiti.

I ransomware sono al primo posto, in quanto a popolarità e impatto, in una classifica di 8 gruppi di minacce messa a punto dal Threat Landscape 2021 pubblicato a ottobre dallENISA, lAgenzia dellUnione Europea per la Cybersicurezza. Il report dellAgenzia europea sottolinea come la remotizzazione del lavoro, negli anni 2020 e 2021, abbia contribuito a incrementare e rendere mainstreamle minacce alla sicurezza informatica legate alla pandemia e allo sfruttamento della nuova normalità dello smart working, che ha di fatto aumentato la superficie di attaccoprovocando un aumento del numero di attacchi informatici diretti a organizzazioni e aziendecon personale che opera a distanza.

«Siamo entrati nellera dellenterprise ransomware, attacchi sofisticati, preparati con cura e con mesi di anticipo, cui fanno seguito richieste di riscatto frutto di uno studio approfondito, tagliate su misura sulle organizzazioni colpite. Un processo favorito dal disaccoppiamento fra chi progetta e sviluppa ransomware da una parte e coloro i quali sferrano gli attacchi» dice Giuseppe Bianchi, Professore Ordinario di Telecomunicazioni e Sicurezza delle Reti presso l’Università di Roma Tor Vergata.

L’attacco ransomware alla Regione Lazio

La vulnerabilità della Sanità di fronte alle aggressioni informatiche ha avuto conferma e una particolare eco con l’attacco hacker, sferrato attraverso un ransomware, che ha colpito domenica 1 agosto 2021 il data center che ospita alcuni dei sistemi informatici della Regione Lazio: il ransomware ha compromesso per alcuni giorni lutilizzo di alcuni dei servizi e delle applicazioni a disposizione dei cittadini e il portale di registrazione per le vaccinazioni COVID-19, rallentando così la campagna di vaccinazione.

Cos’è un ransomware

Il ransomware è un malware che rende inaccessibili i dati dei computer infettati. Come accaduto nel caso dellattacco alla regione Lazio, chi sferra unoffensiva attraverso un ransomware chiede il pagamento di un riscatto, generalmente in criptovaluta, in cambio di una password da utilizzare per avere nuovamente accesso ai file bloccati. Se le vittime degli attacchi sono amministrazioni pubbliche o aziende lestorsione è così doppia: da un lato la richiesta di denaro per rendere nuovamente accessibili i propri file, dallaltro la minaccia di rendere pubblici i dati compromessi con il rischio di creare seri problemi di reputazione.

Cadere nella trappola ransomware è piuttosto semplice: il virus infatti può essere installato su un computer attraverso email di phishing (utilizzate in particolare dal ransomware Conti), che invitano lutente a cliccare su un determinato link oppure navigando su siti compromessi che ospitano malware facili da scaricare.

L’aumento degli attacchi ransomware nel mondo

Il Research Intelligence and Fusion Team (RIFT) di NCC Group ha stabilito che tra gennaio e giugno 2021 il numero di attacchi ransomware nel mondo è aumentato del 288%: Il 49% delle vittime sono statunitensi, il 7% hanno sede in Francia e il 4% in Germania.

Il ransomware Lockbit 2.0

Il ransomware utilizzato nellattacco alla Sanità laziale sarebbe stato il Lockbit 2.0, fra i virus informatici più pericolosi in circolazione. Precedentemente noto come ransomware ABCD, Lockbit 2.0 è stato sviluppato 3 anni fa ed è un operatore RaaS che opera la crittografia dei file rinominando i filecon lestensione .Lockbit”. Gli hacker che stanno dietro lo sviluppo di questo ransomware sostengono offra la crittografia più veloce sul mercato criminale. Oltre alla Regione Lazio, Lockbit 2.0 avrebbe fatto, secondo i suoi creatori, oltre 50 vittime fino ad ora in numerosi paesi del mondo fra i quali Stati Uniti, Germania, Argentina e Regno Unito. «Nel caso dellattacco alla Regione Lazio – spiega Francesco Quaglia, professore di Ingegneria informatica presso Università di Roma Tor Vergata – è possibile che le difese in campo fossero piuttosto basse. Eun problema comune a moltissime organizzazioni, i cui sistemi di sicurezza risultano oggi piuttosto datati, nonostante esistano già infrastrutture avanzate e performanti». Una tesi condivisa dal professor Bianchi, secondo cui «per contrastare oggi un attacco cyber è necessaria uninfrastruttura completa che abbraccia tutte le aree della cybersicurezza e che sia in grado di alzare le difese necessarie». Esistono modelli che forniscono una lista della spesadelle risorse e delle attività da mettere in campo, sfortunatamente molte organizzazioni, non solo piccole ma anche di medie dimensioni, non sono ancora attrezzate. «Contrastare attacchi cyber significa prevedere controlli di sicurezza, organizzare i processi, dotarsi di supporti e servizi che garantiscono continuità e recovery» prosegue Bianchi, secondo cui fondamentale è la formazione dei dipendenti al riguardo delle strategie che gli hacker adottano per sferrare un attacco. «È opportuno coinvolgerli in simulazioni di attacco per testare le loro capacità nel sottrarsi agli attacchi o contrastarli» conclude Bianchi.

Strutture sanitarie fra le vittime preferite degli hacker

La Regione Lazio è solo una fra le moltissime e più recenti vittime di attacchi cyber in ambito sanitario che non soltanto mettono a repentaglio servizi essenziali alla vita delle persone ma espongono a un gravissimo rischio i dati privati di milioni di cittadini. Nel mese di giugno 2021 ha fatto il suo debutto sulla scena criminale Vice Society, gruppo di hacker in grado, secondo il Team di Intelligence Cisco Talos, di “sfruttare rapidamente le nuove vulnerabilità di sicurezza per favorire gli attacchi ransomware. In poche settimane Vice Society ha preso di mira diverse strutture ospedaliere: l’Eskenazi Health di Indianapolis (USA), il Waikato DHB di Hamilton (Nuova Zelanda), il Centre Hospitalier di Arles (Francia) e il Barlow Respiratory Hospital in California. Un’offensiva criminale di carattere globale, quella condotta dai cyber criminali, che preoccupa governi, amministrazioni sanitarie locali estrutture ospedaliere private, sempre più vulnerabili a seguito del progressivo allargamento del perimetro digitale nel quale operano. «Un furto di dati ai danni di un’organizzazione sanitaria espone i pazienti al rischio di ricatti di diffondere dati personali estremamente sensibili e personali come quelli appartenenti alla sfera della salute. Quegli stessi dati potrebbero poi ad esempio essere ceduti a compagnie assicurative che potrebbero usarli per alterare i prezzi delle polizze» spiega Gaetano Marrocco, Direttore della Scuola di Ingegneria Medica presso Università di Roma Tor Vergata.

Il pericolo per i medical devices

Non solo i dati. Gli hacker sono in grado di prendere di mira anche dispositivi medicali come pacemaker o pompe di insulina: dispositivi elettronici regolati da sistemi operativi e come tali manipolabili attraverso attacchi cyber. Uno scenario nientaffatto improbabile e che anzi preoccupò anche lex vicepresidente degli Stati Uniti Dick Cheney, affetto da cardiopatia. Nel corso della trasmissione televisiva 60 Minutesil vice di Bush rivelò infatti che il suo medico aveva ordinato di disabilitare la funzionalità wireless del suo impianto cardiaco per paura che potesse essere violato in un tentativo di omicidio. Da allora è trascorso quasi un decennio e la tecnologia ha fatto enormi passi in avanti: lintroduzione della tecnologia 5G, che si contraddistingue per bassa latenza e maggiore velocità di trasmissione dei dati, ha aperto importanti scenari riguardanti la chirurgia a distanza, che grazie allausilio di robot, entrerà sempre più a far parte dellordinaria amministrazione medica. Con tutti i rischi del caso: un attacco cyber sferrato contro un dispositivo che esegue delicatissime operazioni chirurgiche potrebbe facilmente mettere a repentaglio la vita del paziente. «Per ridurre il rischio di attacchi cyber i governi e le istituzioni devono investire in competenze per riorganizzare processi e architetture dei sistemi e rafforzare le infrastrutture critiche. Linvestimento va fatto tassativamente sulla formazione. Bisogna aumentare il numero di laureati» conclude Francesco Quaglia.