L’agenzia di sicurezza Cybersecurity & Infrastructure (CISA), congiuntamente ad FBI e al dipartimento di Health e ed Human Services (HHS), ha diramato l’allerta AA20-302A verso il settore della sanità pubblica indicando le Tecniche, Tattiche e Procedure (TTPs) utilizzate dai criminali informatici contro obiettivi nel settore sanitario per infettare i sistemi con i ransomware Ryuk e Conti a scopo di lucro.
I consigli dell’FBI del Department of Homeland Security suggeriscono il mantenimento di piani di continuità aziendale, per ridurre al minimo le interruzioni del servizio, la revisione o istituzione di piani di patch e di politiche di sicurezza, indicando best practice in ambito network, specifiche contro i ransomware e in ambito cyber awareness.
Fra le contromisure, raccomandano l’esecuzione costante di backup, la limitazione della connettività Internet per i macchinari impiegati in ambito sanitario e il divieto all’uso delle mail personali per coloro che operano nelle strutture sanitarie.
Forniscono, infine, suggerimenti puntuali e dettagliati per la mitigazione da attacchi da ransomware.
Indice degli argomenti
Lo scenario della minaccia verso gli ospedali
Non si tratta della prima occasione in cui si guarda al settore sanitario come passibile e vulnerabile agli attacchi cyber.
Uno degli attacchi più ingenti è avvenuto nel 2017 al National Health Service durante la campagna di attacco di WannaCry.
Ma la pandemia ha attirato ancora di più l’attenzione sul problema della vulnerabilità dei sistemi nelle strutture sanitarie. Si ricorda in questo senso a marzo il tentato attacco all’Organizzazione mondiale della sanità e quello riuscito verso l’ospedale universitario di Brno, in Repubblica Ceca, che è stato costretto a disattivare la sua intera rete IT, impattando anche le strutture che si occupavano di test per la COVID-19, o il più recente attacco ransomware all’ospedale di Duesseldorf che ha causato il decesso di una paziente durante il trasferimento ad altra struttura, per il ritardo nelle cure.
Dall’inizio della pandemia, gli ospedali e in generale l’intero sistema sanitario sono stati esortati a migliorare le loro infrastrutture dal punto di vista della sicurezza informatica. Significativo anche il lavoro svolto dai volontari di Cyber Volunteers 19 (CV19) che hanno aiutato le organizzazioni sanitarie di tutta Europa a proteggersi e a rispondere all’enorme quantità di attacchi e minacce informatiche durante il 2020 e sono tutt’ora disponibili sempre su base volontaria nel supporto alla prevenzione e risposta ad attacchi condotti verso i servizi sanitari nel Regno Unito e in Europa.
Una delle peggiori conseguenze all’attacco di una struttura clinica finlandese, la Vastaamo, fra le più grandi del settore medico di quella regione, è stata subita direttamente dai pazienti colpiti a loro volta mediante la tecnica della tripla estorsione. La clinica ha subito un esfiltrazione importante dei dati sanitari (tutti dati sensibili) prima nel 2018 e più recentemente nel 2019, ma il ricatto è stato perpetrato nei confronti dei pazienti che avevano ricevuto cure di tipo psicoterapeutico. Per quanto l’azienda abbia istituito anche un help desk di supporto ai pazienti il danno e il tipo di ricatto estorsivo restano gravissimi.
L’allerta congiunta di CISA, FBI e HHS
In relazione all’allerta diramata per gli ospedali americani, le tre organizzazioni, CISA, FBI e HHS, hanno raccolto evidenze credibili sulla crescente ed imminente minaccia informatica verso strutture ospedaliere ed operatori sanitari nel territorio americano per stimolare tutte le strutture potenzialmente interessate all’adozione di precauzioni tempestive e appropriate per la protezione delle proprie reti informatiche.
I principali responsabili degli attacchi sarebbero malware come Trickbot e BazarLoader che spesso veicolano ransomware con l’obiettivo di interrompere i servizi sanitari.
L’avviso sottolinea come si renda necessario per le strutture sanitarie bilanciare il rischio degli attacchi informatici con investimenti mirati, nonostante il periodo COVID porti a concentrare l’attenzione sulla pandemia e sulle sue emergenze correlate.
Il comunicato non precisa le motivazioni degli attaccanti, ma poiché sono utilizzati strumenti sofisticati e i criminali informatici permangono a lungo nelle reti dei loro target, puntano certamente a massimizzare il ROI (Return of Investment). Non è possibile, tuttavia, escludere a priori, un effetto diversivo di attacchi per puntare alle elezioni americane come vero target, oppure un tentativo commissionato da attori statuali per destabilizzare la nazione americana proprio durante il periodo elettorale.
Le tecniche e gli strumenti di attacco
Per comprendere la pericolosità degli attacchi di questo tipo e per capirne meglio le tecniche attuative abbiamo chiesto ad Aaron Visaggio, professore associato del Dipartimento di Ingegneria dell’Università del Sannio e Direttore del ISWHAT LAB, di spiegare il comportamento di questo tipo di minacce.
L’attacco, precisa il prof. Visaggio, avviene attraverso una vera e propria squadra di malware usati in modo collaborativo, con il risultato di trovarne più di uno, tutti molto potenti, sulla stessa macchina, per un effetto moltiplicativo dei danni provocati.
Il gruppo di codici malevoli è costituito, di solito, da: Emotet, Trickbot e Ryuk. Emotet e Trickbot sono stati molto diffusi utilizzando campagne che sfruttavano l’emergenza COVID 19. Sono malware diversi con finalità diverse e questa forma di collaborazione ne esalta gli effetti disastrosi.
Il risultato finale comporta: massiccio furto di dati, intercettazione di credenziali di svariate tipologie di servizi, cifratura di dati con richiesta di riscatto e una lunghissima persistenza.
Purtroppo, la cosiddetta gang di Ryuk è tristemente nota per la aggressività delle sue campagne. L’anno scorso sono diventati famosi per i riscatti multimilionari ad imprese ed organizzazioni di grosso calibro.
È lecito domandarsi come abbiano fatto ad infiltrarsi in perimetri che sarebbero protetti molto bene e ad esfiltrare una mole di dati tale da poter richiedere riscatti milionari. La risposta è in una tecnica che sfrutta un potentissimo e accurato spear phishing, l’utilizzo di una ricca cassetta degli attrezzi e l’abilità nella persistenza.
Nella catena di kill chain, Ryuk arriva con una e-mail di spear phishing estremamente sofisticata e targetizzata che desta nella vittima ben pochi sospetti: è questo il primo vero punto di forza dell’attacco.
Il vettore di infezione è di solito un documento dotato di macro oppure contenente un URL. La cassetta degli attrezzi è il secondo punto di forza di questo malware che prevede l’utilizzo di malware as a service Emotet, sostituito in alcune campagne più recenti da Buer Loader o da Cobalt Strike, un toolkit molto noto per la offensive security, utilizzato per attacchi sia criminali che nation-sponsored, e di script built-in Windows dotati di tool di amministrazione per i movimenti laterali nelle reti aziendali. La gang di Ryuk utilizza, infatti, un numero elevatissimo di tool commerciali o open source per potenziare la sua capacità di attacco.
Il terzo punto di forza è una elevatissima capacità di persistenza, per cui una volta nella rete, l’efficacia dei suoi movimenti laterali gli consente di insediarsi in un numero molto alto di macchine e di aprire qui delle backdoor.
Il risultato è che Ryuk resiste molto a lungo, anche per mesi, nelle reti aziendali e ha una diffusione estremamente capillare. Le direzioni evolutive di questa campagna malevola riguardano:
- una moltiplicazione di toolkit, malware-as-a-service e software sia open source che proprietari in qualche modo inglobati in un unico attacco;
- una capacità di persistenza elevatissima consentita da una capacità notevole di movimentazione laterale;
- ultimo elemento ma non meno importante, l’evidenza di stili sempre più raffinati e credibili di spear phishing.
