In Irlanda l’apparato sanitario pubblico è stato messo in ginocchio da una serie di incursioni informatiche che hanno paralizzato il settore intero. Non è la prima volta che accade, numerose sono le infrastrutture critiche recentemente prese di mira dai cyber criminali: non ultima, l’oleodotto di Colonial Pipeline negli Stati Uniti d’America. E questo dimostra quanto ci sia ancora tanto da imparare dalle lezioni del passato.
Com’è possibile, infatti, che un paese industrializzato non sia in grado di prevenire cyber attacchi potenzialmente devastanti ai danni dei propri sistemi?
Se un ransomware minaccia gli equilibri del petrolio: la nostra fragilità ci può costare carissima
Indice degli argomenti
L’attacco ransomware in Irlanda: cronologia e vittime
Partiamo dall’inizio. La mattina di venerdì 14 maggio il National Cyber Security Center (NCSC) irlandese è stato allertato riguardo un’infezione da ransomware, noto come Conti, ai danni dell’Health Service Executive (HSE).
Solo due giorni dopo anche il Department of Health è stato vittima di un simile attacco: in entrambi i casi è stato necessario lo shutdown dei relativi sistemi per impedire lo spread del virus e, al contempo, permettere agli esperti di cyber security in carica di identificare la radice del problema e procedere con la rimozione del malware.
È da notare come già a partire dal pomeriggio del 13 maggio sono state notate attività sospette sui due network sanitari, riconducibili ad un tool di accesso remoto noto come Cobalt Strike Beacon. Da qui è possibile ipotizzare che un gruppo di hacker stesse tentando già nei giorni precedenti di ottenere accesso ai sistemi, e che le attività di prevenzione del NCSC non sono state sufficienti per fermare l’attacco, tanto da essere definito una “zero day threat” da Anne O’Connor, Chief Operations Officer dell’HSE.
Conti, tra le minacce più pericolose degli ultimi anni
Come funziona esattamente questo programma, capace di colpire target così sofisticati? Di natura relativamente recente, il ransomware Conti fa la sua prima comparsa nel 2019, presentando caratteristiche molto simili al malware Ryuk, che è andato progressivamente a rimpiazzare.
Gli operatori del malware Conti sono noti per prediligere vittime di alto livello, come multinazionali ed enti pubblici: in ciascun caso, il programma si attiva per diffondersi nel sistema infettato finché non si ottengono le credenziali di accesso, momento in cui gli hacker possono attivare il software di criptazione.
Durante il processo, Conti è in grado di bloccare il funzionamento di 146 servizi Windows relativi alla sicurezza e ai database. Come step finale, il malware cancella le Volume Shadow Copies, in modo da rendere inaccessibili dati e servizi relativi ad eventuali backup.
Una volta che tutte queste operazioni sono state portate a termine, Conti inizia a criptare i file delle vittime: nel fare ciò viene generata una chiave di decriptazione unica per ciascun utente infettato. A seconda delle stringhe presenti nel codice del virus, esso può infettare esclusivamente i file locali di un computer, ma anche espandersi ad eventuali network e indirizzi IP connessi.
Viste le capacità distruttive di questo ransomware, l’azienda di cyber security Kaspersky considera Conti come il secondo malware più pericoloso nell’attuale scenario globale.
Ransomware, tra scopi finanziari e sembianze di terrorismo
L’attacco è stato definito da Ossian Smyth, Ministro del Public Procurement and eGovernment, come possibilmente il più grave cybercrime della storia irlandese.
Chi si cela dietro un’azione criminale di tale portata? Stando alle investigazioni in corso, un gruppo appartenente alla criminalità organizzata, dal nome di Wizard Spider, risulterebbe essere l’autore di questo e altri attacchi a livello globale, e si ipotizza che l’origine delle incursioni possa rintracciarsi nell’est Europa, specificatamente in Russia.
La matrice non è di natura terroristica, ma esclusivamente finanziaria, come si evince dai messaggi rilasciati dai criminali stessi una volta infettati i sistemi sanitari irlandesi.
Nonostante ciò, secondo le parole di Joseph Carson, Chief Security Scientist di ThycoticCentrify, prendere d’assalto infrastrutture critiche in ambito sanitario, nel mezzo di una pandemia globale, equivale a terrorismo in quanto si attenta indirettamente alla vita delle persone colpite.
Come sta rispondendo il governo irlandese
Successivamente all’attacco, un team specializzato dell’NCSC ha prestato supporto ai dipartimenti colpiti, così come altri enti statali, per ridurre il rischio di attacchi ransomware ai loro network.
Il centro di cyber sicurezza ha inoltre affermato di cooperare con l’Unione Europea e altri partner internazionali, come l’Europol, per condividere dettagli riguardanti gli attacchi subiti dal sistema sanitario.
I danni riscontrati sono stati molteplici e di diversa natura: ad esempio il sistema integrato, dal quale dipende il funzionamento dei macchinari, è stato reso inutilizzabile, comportando quindi l’impossibilità di eseguire diagnosi in ambito radiologico.
Allo stesso tempo, finché i dati ospedalieri rimangono criptati, nessun paziente potrà avere accesso alle proprie diagnosi passate in formato digitale. Di conseguenza, per continuare a garantire il servizio ai pazienti in bisogno, le strutture sanitarie sono ricorse ad un sistema cartaceo per registrare le informazioni dei pazienti e gli esiti delle visite. Anne O’Connor ha definito questo passaggio come un grave passo indietro, specie dopo gli sforzi compiuti per mettere in piedi il sopracitato sistema integrato.
Wizard Spider ha richiesto un riscatto pari a 16 milioni di euro, minacciando di rilasciare i dati rubati sul Dark Web qualora le loro condizioni non siano rispettate. Questa strategia prende il nome di “double extortion” (doppia estorsione), in quanto la minaccia è doppia: da una parte i criminali minacciano di lasciare criptati i file sottratti, e dall’altra avvertono che potrebbero, in caso di mancato risarcimento, rendere pubblici i dati per scopi illeciti, arrivando anche potenzialmente a venderli sul mercato.
Nonostante questi rischi, il governo irlandese ha affermato di non essere intenzionato a pagare il riscatto, preferendo la ricostruzione da zero dei sistemi coinvolti, operazione che potrebbe costare di milioni di euro.
Abbiamo imparato le lezioni del passato?
L’episodio irlandese è solo il più recente dei numerosi esempi di cyber attacchi di crescente pericolosità e mirati contro importanti asset statali: già nel 2017 il National Health Service del vicino Regno Unito fu colpito dal noto ransomware WannaCry, e nel gennaio di quest’anno anche la Scottish Environmental Protection Agency è stata vittima del virus Conti.
Nel mese di maggio un gruppo di hacker est-europei è giunto, tramite un potente malware denominato DarkSide, a chiudere l’oleodotto Colonial Pipeline, il quale rifornisce diversi stati americani, dal Texas fino a New York.
L’importanza di proteggere le infrastrutture critiche
Le infrastrutture critiche, da quelle sanitarie a quelle energetiche, sono ormai diventate uno dei bersagli preferiti da cyber criminali sempre più sofisticati e pronti ad attaccare con facilità target governativi.
Una domanda sorge spontanea: cosa spinge gli hacker a prendere di mira bersagli così complessi e apparentemente ben difesi? Secondo le parole di Urban Schrott, Cybersecurity Analyst e Communications Manager presso ESET Ireland, la criminalità informatica genera al giorno d’oggi più profitto del traffico di droga a livello globale.
I cyber criminali odierni sono giunti a reclutare personale interno alle aziende che si vogliono infettare, promettendo ad essi una parte del guadagno.
Si è inoltre generato un modello di business basato sul leasing di ransomware, con un costo mensile da sostenere per avere pieno accesso al malware e, di conseguenza, attaccare qualsiasi obiettivo si abbia in mente.
Donna morta per colpa di ransomware: la Sanità non cyber-sicura uccide
Il governo irlandese ha stanziato 22 miliardi di euro per la sanità pubblica, ma la maggior parte di questi sono stati destinati alla cura dei pazienti.
Non si è pensato a potenziare l’apparato di cyber security sanitaria, sottovalutando il fatto che gli attacchi informatici potrebbero potenzialmente essere altrettanto fatali, come dimostrato dalla prima morte associabile ad un attacco ransomware avvenuta in Germania, dove il dirottamento di un’ambulanza ha ritardato le cure necessarie ad un paziente, provocandone il decesso.
Per prevenire futuri attacchi e salvaguardare la sicurezza delle informazioni sensibili, è necessario fornire un training costante e aggiornato per tutti i dipendenti sanitari, in modo che possano essere in grado di identificare tentativi di phishing ed e-mail fraudolente, i quali rappresentano i principali vettori di incursioni informatiche.
