L'ANALISI TECNICA

Allerta ransomware contro la sanità pubblica e privata: tutti i dettagli

Diramato un allarme ransomware per gli ospedali americani con indicazioni di massicce campagne malevoli in arrivo. Fornite le indicazioni di best practice e le contromisure da attuare, valide in generale per tutte le organizzazioni

03 Nov 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

L’agenzia di sicurezza Cybersecurity & Infrastructure (CISA), congiuntamente ad FBI e al dipartimento di Health e ed Human Services (HHS), ha diramato l’allerta AA20-302A verso il settore della sanità pubblica indicando le Tecniche, Tattiche e Procedure (TTPs) utilizzate dai criminali informatici contro obiettivi nel settore sanitario per infettare i sistemi con i ransomware Ryuk e Conti a scopo di lucro.

I consigli dell’FBI del Department of Homeland Security suggeriscono il mantenimento di piani di continuità aziendale, per ridurre al minimo le interruzioni del servizio, la revisione o istituzione di piani di patch e di politiche di sicurezza, indicando best practice in ambito network, specifiche contro i ransomware e in ambito cyber awareness.

Fra le contromisure, raccomandano l’esecuzione costante di backup, la limitazione della connettività Internet per i macchinari impiegati in ambito sanitario e il divieto all’uso delle mail personali per coloro che operano nelle strutture sanitarie.

Forniscono, infine, suggerimenti puntuali e dettagliati per la mitigazione da attacchi da ransomware.

Lo scenario della minaccia verso gli ospedali

Non si tratta della prima occasione in cui si guarda al settore sanitario come passibile e vulnerabile agli attacchi cyber.

Uno degli attacchi più ingenti è avvenuto nel 2017 al National Health Service durante la campagna di attacco di WannaCry.

Ma la pandemia ha attirato ancora di più l’attenzione sul problema della vulnerabilità dei sistemi nelle strutture sanitarie. Si ricorda in questo senso a marzo il tentato attacco all’Organizzazione mondiale della sanità e quello riuscito verso l’ospedale universitario di Brno, in Repubblica Ceca, che è stato costretto a disattivare la sua intera rete IT, impattando anche le strutture che si occupavano di test per la COVID-19, o il più recente attacco ransomware all’ospedale di Duesseldorf che ha causato il decesso di una paziente durante il trasferimento ad altra struttura, per il ritardo nelle cure.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Dall’inizio della pandemia, gli ospedali e in generale l’intero sistema sanitario sono stati esortati a migliorare le loro infrastrutture dal punto di vista della sicurezza informatica. Significativo anche il lavoro svolto dai volontari di Cyber Volunteers 19 (CV19) che hanno aiutato le organizzazioni sanitarie di tutta Europa a proteggersi e a rispondere all’enorme quantità di attacchi e minacce informatiche durante il 2020 e sono tutt’ora disponibili sempre su base volontaria nel supporto alla prevenzione e risposta ad attacchi condotti verso i servizi sanitari nel Regno Unito e in Europa.

Una delle peggiori conseguenze all’attacco di una struttura clinica finlandese, la Vastaamo, fra le più grandi del settore medico di quella regione, è stata subita direttamente dai pazienti colpiti a loro volta mediante la tecnica della tripla estorsione. La clinica ha subito un esfiltrazione importante dei dati sanitari (tutti dati sensibili) prima nel 2018 e più recentemente nel 2019, ma il ricatto è stato perpetrato nei confronti dei pazienti che avevano ricevuto cure di tipo psicoterapeutico. Per quanto l’azienda abbia istituito anche un help desk di supporto ai pazienti il danno e il tipo di ricatto estorsivo restano gravissimi.

L’allerta congiunta di CISA, FBI e HHS

In relazione all’allerta diramata per gli ospedali americani, le tre organizzazioni, CISA, FBI e HHS, hanno raccolto evidenze credibili sulla crescente ed imminente minaccia informatica verso strutture ospedaliere ed operatori sanitari nel territorio americano per stimolare tutte le strutture potenzialmente interessate all’adozione di precauzioni tempestive e appropriate per la protezione delle proprie reti informatiche.

I principali responsabili degli attacchi sarebbero malware come Trickbot e BazarLoader che spesso veicolano ransomware con l’obiettivo di interrompere i servizi sanitari.

L’avviso sottolinea come si renda necessario per le strutture sanitarie bilanciare il rischio degli attacchi informatici con investimenti mirati, nonostante il periodo COVID porti a concentrare l’attenzione sulla pandemia e sulle sue emergenze correlate.

Il comunicato non precisa le motivazioni degli attaccanti, ma poiché sono utilizzati strumenti sofisticati e i criminali informatici permangono a lungo nelle reti dei loro target, puntano certamente a massimizzare il ROI (Return of Investment). Non è possibile, tuttavia, escludere a priori, un effetto diversivo di attacchi per puntare alle elezioni americane come vero target, oppure un tentativo commissionato da attori statuali per destabilizzare la nazione americana proprio durante il periodo elettorale.

Le tecniche e gli strumenti di attacco

Per comprendere la pericolosità degli attacchi di questo tipo e per capirne meglio le tecniche attuative abbiamo chiesto ad Aaron Visaggio, professore associato del Dipartimento di Ingegneria dell’Università del Sannio e Direttore del ISWHAT LAB, di spiegare il comportamento di questo tipo di minacce.

L’attacco, precisa il prof. Visaggio, avviene attraverso una vera e propria squadra di malware usati in modo collaborativo, con il risultato di trovarne più di uno, tutti molto potenti, sulla stessa macchina, per un effetto moltiplicativo dei danni provocati.

Il gruppo di codici malevoli è costituito, di solito, da: Emotet, Trickbot e Ryuk. Emotet e Trickbot sono stati molto diffusi utilizzando campagne che sfruttavano l’emergenza COVID 19. Sono malware diversi con finalità diverse e questa forma di collaborazione ne esalta gli effetti disastrosi.

Il risultato finale comporta: massiccio furto di dati, intercettazione di credenziali di svariate tipologie di servizi, cifratura di dati con richiesta di riscatto e una lunghissima persistenza.

Purtroppo, la cosiddetta gang di Ryuk è tristemente nota per la aggressività delle sue campagne. L’anno scorso sono diventati famosi per i riscatti multimilionari ad imprese ed organizzazioni di grosso calibro.

È lecito domandarsi come abbiano fatto ad infiltrarsi in perimetri che sarebbero protetti molto bene e ad esfiltrare una mole di dati tale da poter richiedere riscatti milionari. La risposta è in una tecnica che sfrutta un potentissimo e accurato spear phishing, l’utilizzo di una ricca cassetta degli attrezzi e l’abilità nella persistenza.

Nella catena di kill chain, Ryuk arriva con una e-mail di spear phishing estremamente sofisticata e targetizzata che desta nella vittima ben pochi sospetti: è questo il primo vero punto di forza dell’attacco.

Il vettore di infezione è di solito un documento dotato di macro oppure contenente un URL. La cassetta degli attrezzi è il secondo punto di forza di questo malware che prevede l’utilizzo di malware as a service Emotet, sostituito in alcune campagne più recenti da Buer Loader o da Cobalt Strike, un toolkit molto noto per la offensive security, utilizzato per attacchi sia criminali che nation-sponsored, e di script built-in Windows dotati di tool di amministrazione per i movimenti laterali nelle reti aziendali. La gang di Ryuk utilizza, infatti, un numero elevatissimo di tool commerciali o open source per potenziare la sua capacità di attacco.

Il terzo punto di forza è una elevatissima capacità di persistenza, per cui una volta nella rete, l’efficacia dei suoi movimenti laterali gli consente di insediarsi in un numero molto alto di macchine e di aprire qui delle backdoor.

Il risultato è che Ryuk resiste molto a lungo, anche per mesi, nelle reti aziendali e ha una diffusione estremamente capillare. Le direzioni evolutive di questa campagna malevola riguardano:

  • una moltiplicazione di toolkit, malware-as-a-service e software sia open source che proprietari in qualche modo inglobati in un unico attacco;
  • una capacità di persistenza elevatissima consentita da una capacità notevole di movimentazione laterale;
  • ultimo elemento ma non meno importante, l’evidenza di stili sempre più raffinati e credibili di spear phishing.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr