Andrea Saturnino, ICT Security Specialist Sababa Security, spiega perché è necessario proteggere i dati dal ransomware, per proteggere i cittadini.
Una delle tipologie di attacchi emersa maggiormente negli ultimi anni sono i malware ransomware, che sono stati sviluppati per criptare i dati delle vittime e diffondersi attraverso la loro rete, sfruttando i movimenti laterali e l’elevazione dei privilegi.
Questa tipologia di attacchi viene sfruttata principalmente da gruppi criminali, sia indipendenti che para-statali, per effettuare attacchi contro le infrastrutture informatiche di aziende o strutture critiche, come aeroporti, sistemi statali o strutture ospedaliere.
Stando ad un report Sophos, proprio gli attacchi contro quest’ultime sono raddoppiate dal 2021 al 2022. Il costante aumento è dovuto, tra le altre ragioni, alla tipologia di dati che gestiscono e alla criticità del servizio offerto, dovendo queste mantenere i sistemi informatici sempre attivi e funzionanti.
Vista la tipologia di dati gestiti da queste realtà, questi attacchi vengono effettuati solitamente con lo scopo di forzare le aziende a pagare il riscatto, per evitare la perdita totale di dati altamente sensibili e necessari per i pazienti o per evitare la loro pubblicazione, con la conseguente perdita di reputazione e di soldi, a causa delle sanzioni.
Proprio per questi motivi, il settore Healthcare risulta essere uno dei più targettizzati dai grandi gruppi criminali. Tra gli altri, i più grandi gruppi che prendono di mira principalmente le società ospedaliere sono Daixin Team e Royal ransomware.
Il primo è solito guadagnare l’accesso alle reti delle vittime tramite lo sfruttamento delle vulnerabilità di sistemi VPN o con l’utilizzo di credenziali rubati.
Il secondo gruppo invece, famoso negli ultimi mesi soprattutto per aver sfruttato la vulnerabilità di VMware ESXi, è solito accedere alla rete della vittima tramite l’utilizzo di trojan.
Entrambi poi tendono ad utilizzare tool come Cobalt Strike e tool opensource, come Nsudo o PSExec, per comunicare con il server Command and Control e per distribuire il malware all’interno della rete colpita.
Oltre alle due entità già citate, il settore sanitario è diventato uno degli obiettivi preferiti dei gruppi para-statali nord coreani, tra cui possiamo citare Lazarus Group, uno dei gruppi ransomware più longevi.
Secondo un’analisi effettuata in collaborazione tra NSA, FBI e CISA, il governo nord coreano utilizza i ricavi effettuati da questi attacchi per finanziare i progetti di priorità nazionale come, tra gli altri, lo sviluppo di armi tattiche.
Tra gli attacchi più recenti possiamo notare quello avvenuto all’Heritage Provider Network, una delle più grandi società private in ambito sanitario e che ha causato l’esposizione di circa 3 milioni di cartelle cliniche o quello avvenuto al Tallahassee Memorial Healthcare, che ha portato alla cancellazione di numerose operazioni chirurgiche oltre che al furto, anche qui, di diversi dati di pazienti.
Una delle minacce più preoccupanti, ma anche interessanti da un certo punto di vista, che si sta concretizzando è il furto di dati o informazioni non modificabili, come ad esempio il DNA.
Il furto del DNA di una persona potrebbe fornire ai criminali tutte le informazioni fisiche su questa, come colore pelle e altezza, ma anche eventuali parentele con altre persone e malattie genetiche.
Poiché una persona non può rimpiazzare il proprio DNA, come farebbe con qualsiasi altro dato sottratto o eliminato, questo tipo di furto risulta particolarmente grave; per fare un esempio, l’esposizione del DNA di un bambino potrebbe non risultare particolarmente grave, tuttavia ipotizzando che quello stesso bambino diventasse nel giro di 50 anni una importante carica politica, quel dato potrebbe essere utilizzato da malintenzionati per trovare eventuali parentele, malattie o allergie da utilizzare contro la persona stessa.
Proprio per questo, la protezione dei dati in ambito sanitario risulta essere tra le più cruciali per la protezione dei cittadini.
