Oggi portiamo alla vostra conoscenza un fatto spiacevole accaduto nel 2021 legato all’universo della sicurezza informatica. L’articolo di bloomberg.com, scritto dai giornalisti della redazione di businessweek (Fonte) racconta e analizza un attacco ransomware del 2021 che ha letteralmente congelato il sistema sanitario irlandese.
Coms'è successo...
Inizialmente l’attacco è caduto in uno schema particolarmente noto: nel marzo 2021 gli hacker hanno ingannato un dipendente facendogli fare clic su un foglio di calcolo dall’aspetto innocuo, che ha però concesso l’accesso alla sua rete.
In seguito, precisamente il 14 maggio hanno reso inutilizzabile la maggior parte del sistema (70.000 dispositivi) crittografando risme di dati. Da quel momento furono richiesti 20 milioni di dollari per annullare l’azione e se il pagamento fosse andato in porto sarebbe stato uno dei più grandi pagamenti di ransomware di sempre!
L’impatto fu agghiacciante, in quanto furono compromessi i sistemi di 54 ospedali e circa 4.000 altri luoghi, che avevano bisogno di far funzionare apparecchiature come macchine per radioterapia e tenere traccia di quali farmaci somministrare a quali pazienti.
Mentre medici e infermieri si affrettavano a improvvisare modi per evitare che i pazienti malati morissero, il governo irlandese adottò una linea dura dichiarando che non avrebbero pagato nessun riscatto.
Nel frattempo, gli autori, una famigerata banda con sede in Russia chiamata Conti (con diversi precedenti in merito a questo genere di attacchi), avevano già creato un portale di chat online sul dark web, dove spiegavano ai rappresentanti dell’agenzia di sanità pubblica irlandese, l’Health Service Executive (o HSE), che si erano infiltrati nella rete e vi erano rimasti per più di due settimane, di aver rubato 700 gigabyte di dati, comprese informazioni personali su pazienti, dipendenti e contratti, e condivise un campione di documenti sensibili per dimostrare che non stavano mentendo. Così rilanciarono la domanda di quando avrebbero proseguito con il pagamento.
Con i funzionari irlandesi che ancora resistevano, mercoledì 19 maggio la banda Conti emise un ultimatum dove dichiarava che avrebbero cominciato a pubblicare e vendere i dati a patire dal lunedì seguente.
Poi, misteriosamente, esitò.
Il giorno successivo inviò una chiave di decrittazione all’HSE, consentendo al personale di iniziare il lungo processo di recupero dei dati. Aggiunse che questa non era la fine della questione e avrebbero venduto e pubblicato molti dati privati.
Alla fine, però, Conti non fece nulla di tutto ciò e smise di comunicare con l’HSE. Il gruppo sembrava aver annullato del tutto il suo attacco, senza mai aver ricevuto un riscatto.
Gli effetti dell’attacco:
Dai danni ai pazienti alla spaccatura interna della banda Conti
L’attacco informatico, il più grande mai effettuato su un sistema sanitario, è stato comunque devastante. “Il trattamento è stato notevolmente rallentato e in molti casi gestivamo pazienti alla cieca senza accesso a informazioni precedenti. È evidente che comportava un grande rischio”, affermò Colm Henry, direttore clinico dell’HSE.
Quasi due anni dopo, l’attacco ha lasciato un segno indelebile nell’HSE: l’organizzazione infatti sta implementando un piano per modernizzare la sua infrastruttura informatica e rafforzare la sicurezza informatica ad un costo che potrebbe estendersi a centinaia di milioni di euro.
Secondo un ex membro della banda Conti, che ha parlato con Businessweek, l’attacco li ha anche devastati internamente. Fino a quel momento Conti aveva per lo più inflitto danni monetari o reputazionali, e alcuni dei suoi membri erano spaventati dalle conseguenze più viscerali dell’attacco all’HSE.
Conti aveva ostacolato la maggior parte dell’infrastruttura informatica dell’HSE, minando la sua capacità di svolgere le funzioni quotidiane di base. Molte radiografie e scansioni hanno dovuto essere rinviate a livello nazionale, così come le indagini cardiache, le endoscopie, i servizi di radioterapia, gli appuntamenti ginecologici e gli esami del sangue. Migliaia di appuntamenti furono cancellati.
Il personale dell’ospedale National Maternity Hospital ha dovuto chiedere ai pazienti cosa potevano ricordare della loro storia medica e delle loro routine terapeutiche, quindi creare nuovi documenti scritti a mano. Questo era rischioso, dato che non tutti i pazienti possono ricordare tali informazioni in modo affidabile e alcuni hanno difficoltà a comunicare in inglese.
L’unità neonatale dell’ospedale faceva affidamento sui computer per produrre calcoli farmaceutici per i bambini prematuri, alcuni dei quali erano collegati a ventilatori e necessitavano di cure critiche.
Al St. Luke’s Radiation Oncology Network di Dublino, uno dei centri di radioterapia più grandi d’Europa per i malati di cancro, il personale si affrettò ad elaborare un piano per prendersi cura dei suoi 300 pazienti. Il primo triste passo fu classificarli in base al pericolo che correvano a causa dell’interruzione del trattamento. In poche ore il personale identificò circa 10 pazienti che necessitavano di cure palliative o di emergenza, trasferendosi in un ospedale privato i cui computer funzionavano normalmente.
Poi c’erano i bambini, nove pazienti dai 4 ai 14 anni: il loro trattamento si basava su macchine ad accelerazione lineare, enormi dispositivi a raggi X ad alta energia che erogano trattamenti con radiazioni per i tumori. L’attacco aveva reso inutilizzabili tutte le macchine dell’ospedale.
Almeno Dublino, di gran lunga la città più grande d’Irlanda, aveva le risorse per rispondere alla crisi. Sette dei venti ospedali della città sono di proprietà privata e non fanno affidamento sull’infrastruttura HSE ed iniziarono ad accogliere i pazienti più bisognosi di cure immediate per aiutare gli ospedali a recuperare almeno alcune delle loro funzioni entro i primi giorni.
La situazione altrove era ancora più terribile. Vincent Jordan, direttore della sanità elettronica presso il Saolta University Health Care Group, una rete HSE che copre le parti occidentali e nord-occidentali del paese, affermò che la capacità di test di laboratorio in alcuni ospedali era crollata. Una struttura in grado di gestire 4.000 test in un giorno di 12 ore rispose all’attacco espandendosi al servizio 24 ore su 24 ed è stata comunque in grado di superare solo 600 test giornalieri con i computer rimanenti che non erano stati compromessi.
. . . nel frattempo cosa successe alla banda Conti?
Circa una settimana dopo l’attacco iniziale, un hacker Conti che utilizzava lo pseudonimo Alter è entrato in una chat room interna denunciando uno dei membri, scrivendo: “Voglio dire che nessuno dei presenti qui ha niente a che fare con questo attacco, NOI NON attacchiamo risorse pubbliche, ospedali, aeroporti e cose del genere, e non lo faremo”.
Conti era una banda criminale, ma aveva adottato alcune delle strutture e delle pratiche comuni alle imprese tecnologiche legittime. Ha utilizzato una variazione di un modello di business criminale che gli esperti di sicurezza informatica chiamano “ransomware as a service“, in cui un gruppo affitta software dannosi per l’utilizzo da parte di altri criminali. Nel caso di Conti, ne possiede il software ma mantiene un ruolo più attivo negli attacchi stessi, trattando gli hacker quasi come dipendenti, gestendoli e pagando loro stipendi.
Al momento dell’attacco all’HSE, Conti non aveva precedenti di contenzione. L’FBI ha stimato che a gennaio 2022 il gruppo aveva effettuato attacchi a più di 1.000 vittime, ricevendo oltre 150 milioni di dollari di riscatto.
Gli esperti di sicurezza affermano di aver raccolto segni di discordia all’interno della banda su quale comportamento fosse accettabile. Richard Browne, direttore del National Cyber Security Centre irlandese, che aveva indagato sull’attacco affermò che il suo team aveva identificato una filiale (che sospettava aver sede a San Pietroburgo, in Russia) che aveva sviluppato IcedID, un software dannoso che gli hacker hanno utilizzato per penetrare nelle reti aziendali in altri attacchi.
“Questo gruppo di attori era più giovane, più aggressivo e meno avverso al rischio”, affermò, “La nostra valutazione è che si erano resi molto impopolari all’interno del gruppo“.
Browne dice di avere persino i nomi delle persone specifiche che sospetta siano state coinvolte nell’attacco, anche se questo non serve a molto fintanto che rimangono in Russia. La sua indagine ha anche concluso che gli hacker non hanno fatto un ottimo lavoro nel coprire le loro tracce e che il team di sicurezza dell’HSE avrebbe dovuto rendersi conto che era stato compromesso quando Conti ha ottenuto l’accesso alla rete per la prima volta a marzo.
Il motivo per cui l’attacco all’HSE fu annullato rimane misterioso. “Li ha esposti a un tipo di attenzione che avrebbero potuto non desiderare a livello nazionale, commerciale o internazionale”, ha però affermato Browne. Qualunque sia il motivo, il ribaltamento di Conti ha avuto un impatto immediato.
I danni ai pazienti oncologici
Quando l’HSE ha ricevuto le chiavi di decrittazione stava tentando di ricostruire la propria rete, ripristinando i computer utilizzando i dati di backup archiviati su nastri magnetici.
Avere le chiavi rese tutto molto più veloce, secondo Fran Thompson, chief information officer dell’HSE. “Senza la chiave ci sarebbe voluto molto più tempo per recuperare tutti quei sistemi”, affermò Steven Keane, all’epoca comandante responsabile dell’unità informatica delle forze di difesa irlandesi.
Un mese dopo l’attacco, l’HSE aveva recuperato solo circa la metà dei suoi server. Il sistema di cartelle cliniche elettroniche rimase inaccessibile per circa sei settimane. Il ripristino dei sistemi informatici però non ha riparato il danno arrecato alle persone. Uno studio del 2016 sull’International Journal of Radiation Oncology ha anche scoperto che le persone che perdono diverse sessioni di radiazioni durante il trattamento del cancro hanno un rischio maggiore di ritorno della malattia, anche se continuano a completare il ciclo di terapia.
Il personale HSE è stato in grado di ripristinare alcuni sistemi da un server di backup abbastanza rapidamente, il che li ha aiutati a riportare in linea quattro acceleratori lineari presso il St James’s Hospital nel centro di Dublino. I bambini del Faul’s St. Luke’s Hospital sono stati trasportati per 3,5 miglia al centro di cura St James, accompagnati da infermiere pediatriche specializzate e da un anestesista. Il trattamento di ogni paziente ha dovuto essere riprogrammato da zero e hanno ripreso la radioterapia dopo un intervallo di due giorni.
I pazienti adulti con forme più comuni di cancro, come seno e prostata, hanno avuto una pausa più lunga da tre a sei giorni. In tutto, più di 500 malati di cancro in tutta l’Irlanda hanno subito l’interruzione delle sessioni di radioterapia. Al Cork University Hospital, alcuni pazienti nella categoria di trattamento con la massima priorità hanno sperimentato interruzioni fino a 17 giorni.
La caduta della banda Conti
I dissapori all’interno di Conti sono continuati anche dopo la fine dell’attacco. Un mese dopo, un membro del gruppo che si chiamava Rashaev dichiarò in chat interne che Conti aveva «deciso di non toccare il settore sanitario». Ma non tutti gli hacker della banda hanno ascoltato la direttiva. Nell’ottobre 2021 un membro soprannominato Dollar ha effettuato un attacco al distretto ospedaliero di North Broward in Florida, ammettendo in una chat room di aver rubato circa 8 gigabyte di dati dalla rete. Quell’incidente e altri fecero infuriare un membro della banda Conti soprannominato Cybergangster, che si infuriò nelle chat interne sulla condotta di Dollar, “È irrispettoso. Due volte gli ho detto che non tocchiamo il settore medico”.
Queste lotte sono venute alla luce solo a causa di una grave crisi globale che ha diviso il gruppo. Molti dei membri principali di Conti vivono in Russia, e sono stati in grado di operare perché possiedono il tacito sostegno del governo Russo, secondo gli esperti di sicurezza informatica. Ma alcuni dei suoi affiliati operano da altri paesi, compresa l’Ucraina.
Quando la Russia ha invaso l’Ucraina a febbraio 2022, la leadership di Conti ha rilasciato una dichiarazione pubblica di sostegno e ha minacciato di “ritornare alle infrastrutture critiche” di qualsiasi “nemico” che avesse preso di mira la Russia. Giorni dopo, un account Twitter anonimo chiamato “ContiLeaks” ha iniziato a pubblicare online migliaia di messaggi di chat interni e documenti, insieme al messaggio appuntito “Gloria all’Ucraina”.
Conti si è sciolto nel maggio 2022. Molti dei suoi hacker si sono uniti ad altre bande, tra cui una chiamata Black Basta e un’altra nota come Quantum. I documenti forniti a Businessweek hanno mostrato che alcuni degli ex hacker di Conti stavano utilizzando un server per eseguire attacchi ransomware contro entità in Nord America ed Europa, tra cui la Newark Housing Authority, un ufficio di un avvocato di New York, una società di logistica canadese e un dentista del Rhode Island ufficio.
Pochi mesi dopo lo scioglimento di Conti, uno dei suoi ex membri ha accettato di parlare con Businessweek. Il giornalista aveva inviato una richiesta nell’agosto 2022 a un forum sulla criminalità informatica in lingua russa cercando di intervistare persone coinvolte con Conti, e alcune persone hanno risposto prima che i moderatori lo bandissero. Dopo aver inizialmente richiesto denaro, un cittadino ucraino furioso con la leadership del gruppo per aver sostenuto l’invasione di Vladimir Putin, ha accettato di parlare senza condizioni.
L’hacker, che afferma di essere stato pagato con uno stipendio regolare di circa $ 2.000 al mese per raccogliere informazioni su potenziali obiettivi, non giustifica l’attacco all’HSE o ad altre organizzazioni. Invece, afferma di non aver compreso le implicazioni delle sue azioni. I dettagli sulle operazioni spesso non venivano comunicati ai singoli team, che erano isolati l’uno dall’altro, dice. Il suo capo “non mi ha mai rivelato i dettagli del nostro lavoro. Diceva: ‘Meno sai, più vivrai’ ». L’ex Conti aggiunse di non essere stato consapevole dell’attentato agli ospedali quando è avvenuto. “Non conoscevo i dettagli. Ma ora lo condanno”, ha ammesso.
Nonostante si sia confrontato con l’impatto del lavoro del ransomware non l’ha abbandonato. Dichiarò di vivere in Russia e che non ha altro modo per guadagnarsi da vivere. “Voglio davvero andarmene. Ma questa è la mia unica fonte di reddito”, disse. “Fidati di me, posso fare molto nel campo della sicurezza delle informazioni, ma tutte le mie ricerche di lavoro falliscono costantemente. Voglio davvero lavorare e sapere che il mio lavoro non danneggerà nessuno”.
E adesso?
Come possiamo proteggerci?
Dopo essere venuti a conoscenza di una storia come questa è naturale cominciare a chiedersi: come difendersi da questo genere di attacchi? Se non ci è riuscito il sistema nazionale sanitario di un Paese, come posso farlo io?
Beh, a tutto c’è una soluzione e quella di BeSharing è pronta per essere rivelata, stiamo parlando di: BeCyberSafe.
La vera domanda non è SE verremo colpiti da un attacco informatico, ma QUANDO? E in quel caso COME reagiremo? Quanto tempo impiegheremo per arginare la minaccia? Ma soprattutto: ORA stiamo facendo il possibile per proteggerci?
Prima di tutto scopriamo quali sono le armi per la tua sicurezza:
• Un SIEM (Security Information and Event Management) Super Moderno
• Monitoraggio e RTA 24/7
• Un Security Operation Center come mai visto prima
• Architettura basata su Big-Data
• Possibilità di intervenire in tempo zero per arginare la minaccia
• Tecnologia di detection in continua evoluzione e sempre aggiornata
• Raccolta e normalizzazione di ogni endpoint
I tuoi collaboratori sanno riconoscere un attacco informatico? Mettili alla prova tre servizi fondamentali: il Vulnerability Assessment, la Cyber Education e Campagne di Phishing.
E per gli attacchi via email?
Ci pensa BeSharing con Mail Security!
Mail Security è una soluzione pienamente integrabile con la tua realtà aziendale. È un servizio progettato per offrire una protezione multilivello grazie a un approccio che combina IP reputation, analisi dei contenuti e regole euristiche.
Quali sono i vantaggi:
• La protezione anti-virus accurata grazie all’aggiornamento costante del database di firme virali e alla disponibilità di oltre 10 siti mirror in rete.
• Servizio in outsourcing consente di delegare la manutenzione e la gestione della security senza doversi preoccupare del dimensionamento delle risorse in ottica evolutiva.
• Il servizio cloud-based offre numerosi vantaggi: flessibilità, scalabilità, resilienza e gestione completa con monitoraggio H24.
• Controllo efficace e capillare sotto ogni aspetto: una soluzione perfettamente studiata per integrarsi con la realtà aziendale, permette di mantenere la governance della sicurezza, offrendo in più un sistema di reportistica adeguato.
• Mail Security comprende una serie di soluzioni tecnologiche best in classe tempi di risposta tra i più veloci del settore per le nuove vulnerabilità.
• Le piattaforme sono dimensionabili in base alle esigenze del cliente, garantendo una protezione multi-tenant con totale separazione degli ambienti dedicati ai singoli clienti.
• La soluzione si completa infine grazie a un tool di autenticazione per l’accesso sicuro e alla piattaforma di reporting per verificare l’andamento del servizio e le minacce gestite.
BeSharing crea il pacchetto personalizzato di sicurezza informatica più adatto alla tua azienda e alle relative esigenze.
Contattaci subito per scoprirne di più e cominciare a proteggere in maniera adeguata la tua realtà!