Lo sforzo compiuto per far fronte all’emergenza dettata dal diffondersi del virus e nel contempo per garantire ai cittadini gli altri servizi essenziali in campo medico, ha esposto la sanità del nostro paese alle attenzioni dei cyber criminali, consapevoli della particolare vulnerabilità del sistema in un contesto di accelerazione dei processi digitali come conseguenza delle restrizioni ai movimenti delle persone e della distanza sociale.
Il risultato è che le strutture sanitarie sono sempre più nel mirino di attacchi hacker. Secondo un recente rapporto di Trend Micro Research, la divisione della multinazionale di software per la sicurezza informatica Trend Micro, nel 2020 sono stati 20.777 i malware unici e 2.063 i ransomware unici che hanno colpito le strutture sanitarie italiane, consegnando al settore più vulnerabile in questa fase storica segnata dalla pandemia il non invidiabile primato degli attacchi informatici subiti.
I ransomware sono al primo posto, in quanto a popolarità e impatto, in una classifica di 8 gruppi di minacce messa a punto dal Threat Landscape 2021 pubblicato a ottobre dall’ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza. Il report dell’Agenzia europea sottolinea come la remotizzazione del lavoro, negli anni 2020 e 2021, abbia contribuito a incrementare e rendere “mainstream” le minacce alla sicurezza informatica legate alla pandemia e allo sfruttamento della nuova normalità dello smart working, che ha di fatto “aumentato la superficie di attacco” provocando “un aumento del numero di attacchi informatici diretti a organizzazioni e aziende” con personale che opera a distanza.
«Siamo entrati nell’era dell’enterprise ransomware, attacchi sofisticati, preparati con cura e con mesi di anticipo, cui fanno seguito richieste di riscatto frutto di uno studio approfondito, tagliate su misura sulle organizzazioni colpite. Un processo favorito dal disaccoppiamento fra chi progetta e sviluppa ransomware da una parte e coloro i quali sferrano gli attacchi» dice Giuseppe Bianchi, Professore Ordinario di Telecomunicazioni e Sicurezza delle Reti presso l’Università di Roma Tor Vergata.
L’attacco ransomware alla Regione Lazio
La vulnerabilità della Sanità di fronte alle aggressioni informatiche ha avuto conferma e una particolare eco con l’attacco hacker, sferrato attraverso un ransomware, che ha colpito domenica 1 agosto 2021 il data center che ospita alcuni dei sistemi informatici della Regione Lazio: il ransomware ha compromesso per alcuni giorni l’utilizzo di alcuni dei servizi e delle applicazioni a disposizione dei cittadini e il portale di registrazione per le vaccinazioni COVID-19, rallentando così la campagna di vaccinazione.
Cos’è un ransomware
Il ransomware è un malware che rende inaccessibili i dati dei computer infettati. Come accaduto nel caso dell’attacco alla regione Lazio, chi sferra un’offensiva attraverso un ransomware chiede il pagamento di un riscatto, generalmente in criptovaluta, in cambio di una password da utilizzare per avere nuovamente accesso ai file bloccati. Se le vittime degli attacchi sono amministrazioni pubbliche o aziende l’estorsione è così doppia: da un lato la richiesta di denaro per rendere nuovamente accessibili i propri file, dall’altro la minaccia di rendere pubblici i dati compromessi con il rischio di creare seri problemi di reputazione.
Cadere nella trappola ransomware è piuttosto semplice: il virus infatti può essere installato su un computer attraverso email di phishing (utilizzate in particolare dal ransomware Conti), che invitano l’utente a cliccare su un determinato link oppure navigando su siti compromessi che ospitano malware facili da scaricare.
L’aumento degli attacchi ransomware nel mondo
Il Research Intelligence and Fusion Team (RIFT) di NCC Group ha stabilito che tra gennaio e giugno 2021 il numero di attacchi ransomware nel mondo è aumentato del 288%: Il 49% delle vittime sono statunitensi, il 7% hanno sede in Francia e il 4% in Germania.
Il ransomware Lockbit 2.0
Il ransomware utilizzato nell’attacco alla Sanità laziale sarebbe stato il Lockbit 2.0, fra i virus informatici più pericolosi in circolazione. Precedentemente noto come ransomware ABCD, Lockbit 2.0 è stato sviluppato 3 anni fa ed è un operatore RaaS che opera la crittografia dei file rinominando i filecon l’estensione “.Lockbit”. Gli hacker che stanno dietro lo sviluppo di questo ransomware sostengono offra la crittografia più veloce sul mercato criminale. Oltre alla Regione Lazio, Lockbit 2.0 avrebbe fatto, secondo i suoi creatori, oltre 50 vittime fino ad ora in numerosi paesi del mondo fra i quali Stati Uniti, Germania, Argentina e Regno Unito. «Nel caso dell’attacco alla Regione Lazio – spiega Francesco Quaglia, professore di Ingegneria informatica presso Università di Roma Tor Vergata – è possibile che le difese in campo fossero piuttosto basse. E’ un problema comune a moltissime organizzazioni, i cui sistemi di sicurezza risultano oggi piuttosto datati, nonostante esistano già infrastrutture avanzate e performanti». Una tesi condivisa dal professor Bianchi, secondo cui «per contrastare oggi un attacco cyber è necessaria un’infrastruttura completa che abbraccia tutte le aree della cybersicurezza e che sia in grado di alzare le difese necessarie». Esistono modelli che forniscono una “lista della spesa” delle risorse e delle attività da mettere in campo, sfortunatamente molte organizzazioni, non solo piccole ma anche di medie dimensioni, non sono ancora attrezzate. «Contrastare attacchi cyber significa prevedere controlli di sicurezza, organizzare i processi, dotarsi di supporti e servizi che garantiscono continuità e recovery» prosegue Bianchi, secondo cui fondamentale è la formazione dei dipendenti al riguardo delle strategie che gli hacker adottano per sferrare un attacco. «È opportuno coinvolgerli in simulazioni di attacco per testare le loro capacità nel sottrarsi agli attacchi o contrastarli» conclude Bianchi.
Strutture sanitarie fra le vittime preferite degli hacker
La Regione Lazio è solo una fra le moltissime e più recenti vittime di attacchi cyber in ambito sanitario che non soltanto mettono a repentaglio servizi essenziali alla vita delle persone ma espongono a un gravissimo rischio i dati privati di milioni di cittadini. Nel mese di giugno 2021 ha fatto il suo debutto sulla scena criminale Vice Society, gruppo di hacker in grado, secondo il Team di Intelligence Cisco Talos, di “sfruttare rapidamente le nuove vulnerabilità di sicurezza per favorire gli attacchi ransomware”. In poche settimane Vice Society ha preso di mira diverse strutture ospedaliere: l’Eskenazi Health di Indianapolis (USA), il Waikato DHB di Hamilton (Nuova Zelanda), il Centre Hospitalier di Arles (Francia) e il Barlow Respiratory Hospital in California. Un’offensiva criminale di carattere globale, quella condotta dai cyber criminali, che preoccupa governi, amministrazioni sanitarie locali estrutture ospedaliere private, sempre più vulnerabili a seguito del progressivo allargamento del perimetro digitale nel quale operano. «Un furto di dati ai danni di un’organizzazione sanitaria espone i pazienti al rischio di ricatti di diffondere dati personali estremamente sensibili e personali come quelli appartenenti alla sfera della salute. Quegli stessi dati potrebbero poi ad esempio essere ceduti a compagnie assicurative che potrebbero usarli per alterare i prezzi delle polizze» spiega Gaetano Marrocco, Direttore della Scuola di Ingegneria Medica presso Università di Roma Tor Vergata.
Il pericolo per i medical devices
Non solo i dati. Gli hacker sono in grado di prendere di mira anche dispositivi medicali come pacemaker o pompe di insulina: dispositivi elettronici regolati da sistemi operativi e come tali manipolabili attraverso attacchi cyber. Uno scenario nient’affatto improbabile e che anzi preoccupò anche l’ex vicepresidente degli Stati Uniti Dick Cheney, affetto da cardiopatia. Nel corso della trasmissione televisiva “60 Minutes” il vice di Bush rivelò infatti che il suo medico aveva ordinato di disabilitare la funzionalità wireless del suo impianto cardiaco per paura che potesse essere violato in un tentativo di omicidio. Da allora è trascorso quasi un decennio e la tecnologia ha fatto enormi passi in avanti: l’introduzione della tecnologia 5G, che si contraddistingue per bassa latenza e maggiore velocità di trasmissione dei dati, ha aperto importanti scenari riguardanti la chirurgia a distanza, che grazie all’ausilio di robot, entrerà sempre più a far parte dell’ordinaria amministrazione medica. Con tutti i rischi del caso: un attacco cyber sferrato contro un dispositivo che esegue delicatissime operazioni chirurgiche potrebbe facilmente mettere a repentaglio la vita del paziente. «Per ridurre il rischio di attacchi cyber i governi e le istituzioni devono investire in competenze per riorganizzare processi e architetture dei sistemi e rafforzare le infrastrutture critiche. L’investimento va fatto tassativamente sulla formazione. Bisogna aumentare il numero di laureati» conclude Francesco Quaglia.