Abbiamo parlato con Massimo Carlotti, Presales Team Leader di CyberArk, di come la cybersecurity nel settore sanitario sia fondamentale per le organizzazioni.
Secondo il manager di CyberArk, i ransomware sono in assoluto la peggiore minaccia.
Durante la pandemia abbiamo assistito a un’ondata di attacchi ransomware che ha interrotto le operazioni negli ospedali di tutto il mondo. Mentre i professionisti in prima linea hanno lottato per mantenere in vita i pazienti, molti hanno dovuto fornire cure efficaci in assenza di informazioni elettroniche sulla salute del paziente (ePHI) e di attrezzature mediche collegate a internet.
L’Universal Health Services, che gestisce 400 ospedali e strutture negli Stati Uniti e nel Regno Unito, ha subito un attacco particolarmente devastante che ha paralizzato i sistemi IT, causando perdite per 67 milioni di dollari. Dopo che il ransomware ha messo fuori uso i sistemi dello Sky Lakes Medical Center dell’Oregon, l’ospedale ha rifiutato di pagare il riscatto richiesto, ma ha annunciato che avrebbe dovuto sostituire più di 2.000 computer e server per “ricominciare da capo”.
Cybersecurity e Sistemi sanitari interconnessi: obiettivi altamente vulnerabili
I dati sanitari sono stati a lungo un obiettivo allettante per gli aggressori. Ospedali e altre organizzazioni sanitarie private conservano abitualmente la documentazione ePHI, che include i dati identificativi personali (PII). Questi dati devono essere conformi a molti regolamenti e standard come l’Health Insurance Portability and Accountability Act (HIPAA). Eppure, a causa delle poche risorse e delle limitazioni dei sistemi legacy, molte informazioni sanitarie sono memorizzate senza le adeguate protezioni di sicurezza. E, a differenza di altri settori, le organizzazioni sanitarie non possono cancellare le cartelle dei pazienti dopo periodi di tempo specifici; devono rimanere accessibili (e sicure) per sempre.
I computer utilizzati all’interno degli ospedali e i sistemi sanitari sono diventati uno degli obiettivi preferiti dagli hacker. I PC sono spesso trasportati da medici e infermieri per ordinare e somministrare in modo efficiente i farmaci, controllare i dispositivi medici, visualizzare immagini diagnostiche e risultati di laboratorio. In molti studi medici, i computer sono posizionati in ogni stanza, dando ai professionisti un accesso veloce alla documentazione ePHI e facilitando la comunicazione tra i membri del team. E nelle sale operatorie, i computer giocano un ruolo fondamentale nella pianificazione pre-intervento, nella visualizzazione delle immagini, nel monitoraggio del paziente e anche nelle procedure robotizzate.
Gli hacker non attaccano solo computer e server critici, ma stanno anche puntando ai dispositivi IoT con sempre maggiore frequenza. Ad esempio, già anni fa l’attacco ransomware WannaCry ha infettato migliaia di dispositivi diagnostici, e molti altri sono stati messi offline per bloccare la diffusione.
Quando il downtime non può essere accettato
Gli attaccanti, motivati da una spinta politica o economica, sanno che le organizzazioni sanitarie semplicemente non possono permettersi di negoziare per giorni o settimane mentre i loro sistemi -ed i pazienti- sono tenuti in ostaggio. Si stima che l’anno scorso siano stati richiesti riscatti per un totale di 15,6 milioni di dollari alle sole organizzazioni sanitarie statunitensi e che abbiano pagato un totale di 2.112.744 dollari, cifra che in realtà potrebbe essere probabilmente molto più alta di quella riportata pubblicamente. Anche quando le organizzazioni pagano il riscatto richiesto, non c’è alcuna garanzia che i sistemi sanitari saranno ripristinati – o che gli attaccanti non torneranno a chiedere di più.
Cybersecurity, ansomware sempre più mirati e richieste di doppia estorsione in aumento
Gli attacchi ransomware iniziano sfruttando le lacune di configurazione e le vulnerabilità di accesso per installare un malware. Vengono utilizzati spesso dei kit ransomware-as-a-service (pronti all’uso e facili da trovare sul dark web) per infettare i sistemi senza patch, utilizzando tecniche comuni di phishing, exploit pubblici noti o furto di credenziali.
Tuttavia, negli ultimi mesi, i CyberArk Labs e il CyberArk Red Team hanno rilevato un aumento significativo di attacchi ransomware mirati che sembrano molto diversi da tentativi opportunistici di tipo “spray and pray”.
Gli attacchi ransomware basati su operatore sono eseguiti da hacker altamente qualificati che possono prendere di mira -e reagire– alle strategie difensive di una specifica organizzazione.
In molti casi, questi criminali operano in modalità stealth per lunghi periodi di tempo, utilizzando TTP avanzate per trovare e rubare le credenziali sia per l’infrastruttura cloud che on-premise – specialmente quelle con privilegi di amministrazione elevati sugli endpoint, come gli account admin di Microsoft Windows o MacOS.
Purtroppo, non è un segreto che nel settore sanitario, operare come utente privilegiato (ad esempio, un medico che con un tablet può accedere alle cartelle cliniche di numerosi pazienti) o consentire a un fornitore terzo (ad esempio, una compagnia di assicurazione o un fornitore di attrezzature mediche) di accedere a un sistema privilegiato è fin troppo comune.
L’obiettivo successivo degli attaccanti è quello di raccogliere le credenziali per un’escalation di privilegi ancora maggiore sfruttando il movimento laterale, alla ricerca di più macchine e dati preziosi da estorcere. Una volta ottenuti i privilegi necessari, spesso agiscono come segue:
- In primo luogo, esfiltrano grandi quantità di dati sensibili, come PII.
- Poi, utilizzando alti livelli di accesso privilegiato e per evitare il rilevamento, cercano modi per “vivere di rendita”. Approfittano di programmi e processi preinstallati su un endpoint compromesso che utenti privilegiati autorizzati, usando gli strumenti contro di loro, per apparire legittimi, rendendo difficile per i team di sicurezza identificare le attività dannose. Così facendo, gli attaccanti non devono preoccuparsi di installare nuovi strumenti, che richiederebbe tempo e risorse, e potrebbe far scattare l’allarme.
- Infine, installano il loro kit ransomware utilizzando i canali di distribuzione del software integrati, utilizzati abitualmente e di cui l’organizzazione si fida. Questa è una tattica molto efficace, in quanto permette di disabilitare – o a volte di aggirare completamente – i controlli di cybersecurity esistenti, come strumenti di rilevamento e risposta degli endpoint (EDR) o di rilevamento e risposta estesa degli endpoint (XDR).
Pagate (di nuovo) o renderemo pubblici i dati dei pazienti
Durante i loro attacchi, gli autori di ransomware cercano modi per interrompere furtivamente i backup e cancellare le copie per massimizzare il loro impatto. Non solo chiedono il pagamento di un riscatto per de-cifrare i dati, ma minacciano anche di renderli pubblici se non viene effettuato un pagamento aggiuntivo. Secondo la ricerca di F-Secure, quasi il 40% dei ransomware scoperti nel 2020 ha utilizzato la doppia estorsione.
Durante le operazioni di escalation dei privilegi, gli hacker, spesso lasciano backdoor o identità nascoste in modo da poter rientrare nell’ambiente della vittima in futuro.
Come la sanità può difendersi dagli attacchi ransomware
Poiché gli attacchi ransomware diventano sempre più sofisticati e mirati, le organizzazioni sanitarie devono migliorare proattivamente la loro postura di cybersecurity per proteggere le infrastrutture critiche e preservare la cura e la fiducia del paziente.
Le linee guida del National Institute of Standards and Technology (NIST) e dell’HIPAA forniscono suggerimenti per aiutare a rafforzare le difese – e su tutte riecheggiano l’importanza del minimo privilegio, delle restrizioni di accesso e di identità come base fondamentale per un moderno programma di cybersecurity basato su Zero Trust.
Questo è il motivo per cui è importante inserire controlli focalizzati sull’identità nella strategia di sicurezza endpoint, insieme a EDR e XDR, antivirus di nuova generazione (NGAV), analisi di dati e rete e strumenti di risposta agli incidenti.
Non solo le soluzioni di Identity Security possono aiutare a rilevare e bloccare il malware stesso, ma “non fidandosi di nulla e verificando tutto” lavorano anche per arrestare l’abuso di identità e privilegi nei punti critici della catena di attacco.
Di conseguenza, le minacce possono essere trovate e bloccate prima che diventino dannose. Una volta in atto questi controlli, le organizzazioni sanitarie possono concentrarsi sul miglioramento della consapevolezza sulla cybersecurity e sulla formazione delle competenze, riconsiderando le best practice della protezione digitale, con il rafforzamento e backup dei sistemi critici dell’ospedale per proteggersi da attacchi futuri.
