Il problema degli hacker che attaccano gli ospedali chiedendo un riscatto, al tempo del Covid

Di Simone Cosimi
·4 minuto per la lettura
Photo credit: Michele Lapini - Getty Images
Photo credit: Michele Lapini - Getty Images

From Esquire

L’allarme per gli attacchi informatici verso obiettivi sensibili è alto da sempre. Infrastrutture strategiche, aeroporti, reti energetiche, impianti industriali di rilevanza nazionale. In questo anno di pandemia, però, già da mesi l’Interpol ha allertato le autorità nazionali del fatto che, più che in passato, i criminali informatici hanno preso di mira l’anello più debole della catena: gli ospedali. Hanno così iniziato a colpirne le reti interne e delle aziende sanitarie in particolare con attacchi ransomware – quelli che bloccano, crittografandoli, database e contenuti di server e pc, promettendo di sbloccarli solo dietro pagamenti in Bitcoin o altre criptovalute – col risultato di ostacolare o rallentare operazioni di vitale importanza per i pazienti ricoverati.

Se nei mesi scorsi erano finite nel mirino diverse società europee dell’ambito farmaceutico, e già all’inizio dell’anno Microsoft aveva dichiarato di aver iniziato a inviare avvisi mirati e allerte urgenti a dozzine di ospedali (in particolare per metterli in guardia sulle reti Vpn e sui gateway vulnerabili utilizzati nei loro network) in particolare per proteggerli dal ransomware REvil, la notizia che aveva fatto discutere di più era arrivata a settembre.

Photo credit: Pixabay
Photo credit: Pixabay

Non riguardava un istituto statunitense ma uno tedesco, l’ospedale universitario di Düsseldorf. A quanto sembrava in un quel momento l’attacco subito proprio nel corso del mese, con una trentina di server cifrati e resi inservibili da medici e operatori, aveva impedito il ricovero di una donna a causa del blocco di una serie di sistemi ospedalieri, provocandone la morte. Fonti investigative avevano reso noto che gli hacker avrebbero sfruttato una falla presente in un “software aggiuntivo commerciale ampiamente utilizzato”. In una nota lasciata su uno dei server i malviventi avevano chiesto all’università Heinrich Heine, affiliata al nosocomio, un riscatto di circa 900mila euro pagabili con i soliti Bitcoin. Gli hacker avevano poi ritirato la richiesta e sbloccato i dati ma era ormai troppo tardi.

Ora una nuova indagine ha stabilito che in realtà la paziente non è morta per via del blocco dei sistemi ma per le pregresse condizioni di salute. Insomma, sarebbe deceduta lo stesso anche se fosse stata ricoverata. La notizia aveva fatto discutere perché sembrava trattarsi del primo caso di cyberattacco direttamente responsabile della morte di una persona, sebbene in modo indiretto. Ma la questione ovviamente non cambia di troppo: gli attacchi di questo tipo, spesso provenienti dall’Europa orientale, continuano a prendere di mira dozzine di ospedali americani. Lo ha ribadito l’Fbi, chiedendo alle strutture di organizzare un’adeguata strategia di cybersicurezza per la tempesta in arrivo nelle prossime settimane. Alla fine di ottobre, per esempio, sono stati segnalati tre attacchi in Oregon, California e New York, tutti più o meno simili. In molti casi il personale è costretto a ricorrere alla gestione documentale e alle cartelle cliniche cartacee nell’attesa che la situazione si sblocchi, con un rallentamento spaventoso nell’operatività, nelle accettazioni, nei triage e negli accertamenti diagnostici. Un dramma già in tempi di pace reso ancora più mortale in tempi di guerra al coronavirus.

Photo credit: GETTY
Photo credit: GETTY

Negli ultimi casi dietro agli attacchi sembrerebbe nascondersi il gruppo Wizard Spider noto anche come Unc 1878. Anche stavolta le armi sono un ransomware (Ryuk) e la botnet TrickBot, su cui Microsoft era intervenuta di recente. In generale, sempre l’Fbi e la Cybersecurity & Infrastructure Security Agency statunitense pensano che il peggio debba ancora arrivare e che un’autentica ondata di cyberattacchi sia per colpire ospedali e organizzazioni sanitarie, negli Stati Uniti e non solo. Ben oltre i tassi di crescita già a tripla cifra registrati negli ultimi mesi. Ryuk, in particolare, sfrutta le credenziali dell’amministratore, evidentemente trafugate in precedenza, per accedere ai sistemi da remoto e crittografare i dischi, mettendoli letteralmente sotto chiave. Il tutto cancellando attentamente le proprie tracce.

Già a settembre un sospetto attacco di questo tipo – ma se ne contano di ogni genere: phishing, attacchi DDoS, trojan - aveva interrotto l’assistenza ai pazienti di una catena di ospedali e cliniche statunitensi, con effetti su tutte le 250 strutture della Universal Health Services, costringendo medici e infermieri ad affidarsi a carta e penna per la registrazione dei dati e degli esami, rallentando i lavori di laboratorio. E nel 2017 sempre il sistema sanitario nazionale del Regno Unito aveva subìto una serie di attacchi che creò non pochi problemi operativi ad ambulanze e interventi (quell’anno fu preso di mira perfino il parlamento).

Photo credit: GETTY
Photo credit: GETTY

Il punto è che il mondo della sanità non è solo indietro in termini di consapevolezza, risorse e protezione informatica ma è anche uno dei contesti preferiti dagli hacker perché mescola reti differenti con diversi livelli di privacy, spesso male organizzate e però comunicanti. Che cioè consentono di saltare dall'una all'altra senza troppe difficoltà, coinvolgendo spesso anche database di enti pubblici. La situazione di stress globale, inoltre, ha spinto sempre più cybercriminali a mettere il dito nella piaga di queste organizzazioni, in prima linea contro la pandemia e più vulnerabili sotto gli altri punti di vista. Charles Carmakal, direttore tecnico della società di sicurezza Mandiant, aveva definito settimane fa la minaccia che incombe sugli Stati Uniti come la "più significativa" che il Paese abbia mai affrontato.