Un’onda fresca di attacchi ransomware ha colpito quasi due dozzine di ospedali e organizzazioni sanitarie negli Stati Uniti nelle ultime settimane, proprio mentre i casi di Covid-19 sono aumentati negli Stati Uniti. Secondo le agenzie di intelligence statunitensi e i professionisti della sicurezza informatica, la situazione potrebbe presto peggiorare.
Mercoledì sera, la Cybersecurity and Infrastructure Security Agency, il Federal Bureau of Investigation e il Department of Health and Human Services hanno avvertito che esiste una “minaccia crescente e imminente della criminalità informatica per gli ospedali e gli operatori sanitari degli Stati Uniti”, al di là dell’ondata di attacchi che si sono già verificati. L’avviso indica il famigerato trojan Trickbot e il ransomware Ryuk come i principali strumenti di hacking coinvolti negli attacchi. Gli analisti della sicurezza di società private affermano che l’attività è legata alla banda criminale russa a volte chiamata UNC 1878 o Wizard Spider.
Gli attori del ransomware hanno per anni preso di mira gli ospedali perché bloccare i sistemi digitali di un’organizzazione sanitaria può minacciare la cura dei pazienti e creare la massima urgenza di pagare e recuperare. Più recentemente, sia il tasso di infezioni contro l’industria che le richieste stesse sono esplose; La società di antivirus Emsisoft ha scoperto che la richiesta media di ransomware è aumentata da circa $ 5.000 nel 2018 a circa $ 200.000 quest’anno, con richieste multimilionarie che diventano sempre più comuni. Il mese scorso, il fornitore Universal Health Services è stato colpito da un attacco Ryuk che si è diffuso nei suoi 250 ospedali e cliniche statunitensi, paralizzando i servizi digitali e colpendo le strutture in tutto il paese.
Anche così, l’attuale ondata di infezioni segna un cambiamento allarmante nel modo in cui sono diventati aggressivi i gruppi di ransomware motivati finanziariamente e fino a che punto sono disposti a spingersi.
“Questa è per me la minaccia informatica più significativa che abbiamo sperimentato negli Stati Uniti fino ad oggi”, afferma Charles Carmakal, vicepresidente senior e chief technical officer della società di sicurezza informatica Mandiant, di proprietà di FireEye. “C’è una linea morale che ogni persona, proprio come un essere umano, riconosce che esiste: quando fai qualcosa sapendo che stai potenzialmente influenzando la vita di qualcuno, hai superato il limite. Quindi c’è un superamento molto chiaro di questa minaccia attore. Questo gruppo è incredibilmente sfacciato, senza cuore, implacabile. “
Gli attacchi potrebbero non corrispondere alla devastazione degli attacchi alle infrastrutture critiche del governo russo in Ucraina, ma hanno zoppicato gli ospedali delle vittime in tutto il paese, inclusi California, Oregon e New York. In molti casi, le vittime hanno dovuto riprogrammare gli appuntamenti, ritardare le procedure o indirizzare i pazienti ad altre strutture per ricevere cure tempestive.
L’allerta del governo degli Stati Uniti delinea raccomandazioni e migliori pratiche su come gli ospedali possono proteggersi e anche aziende private come Mandiant condividono “indicatori di comprensione”, quindi le strutture sanitarie possono monitorare i loro sistemi in modo più attento e cercare di prevenire potenziali attacchi . Una delle principali preoccupazioni è che centinaia di organizzazioni potrebbero essere già state compromesse da aggressori e che il ransomware o i mezzi per distribuirlo è in agguato finché gli hacker non decidono di attivarlo.
Potrebbero continuare anche nuove infezioni. Gruppi di ransomware esperti e dotati di risorse adeguate come UNC 1878 possono passare rapidamente a distribuire ransomware una volta che hanno compromesso un obiettivo se lo desiderano, ma generalmente c’è ancora una finestra per catturare e prevenire un attacco. E le organizzazioni possono anche essere preparate a porre rimedio rapidamente a un attacco ransomware di successo e riportare i propri sistemi online tramite protezioni come backup e strumenti sviluppati appositamente per il ripristino da Ryuk. Alcune aziende, come Emsisoft, offrono i loro servizi gratuitamente in questo momento alle organizzazioni sanitarie.
“Ho due clienti statunitensi nel settore sanitario e sembra che siano stati compromessi da un’interfaccia amministrativa condivisa utilizzata per distribuire malware in questi ambienti”, afferma Greg Linares, ricercatore presso la società di sicurezza CyberPoint. “In questo momento stiamo lavorando con i team per ridurre al minimo questa storia. Ciò significa che ci siamo sbarazzati del malware prima che venisse distribuito rispetto alla storia in una settimana circa, il che potrebbe dire che più di 100 ospedali sono stati colpiti da ransomware”.
.
