Non sono solo Scripps. Il ransomware è diventato dilagante nell’assistenza sanitaria durante la pandemia

attacco informatico
Credito: CC0 Pubblico Dominio

A livello locale, l’attacco ransomware che ha inghiottito Scripps Health la scorsa settimana, paralizzando le risorse digitali dagli ospedali agli ambulatori, è stato isolato. Altri sistemi sanitari nella regione non sono stati interessati e sono stati in grado di assistere i pazienti deviati con bisogni gravi e immediati, inclusi infarti e ictus.

Ma guardati intorno ed è ovvio che Scripps non è solo.

Un recente rapporto della società di software VMWare Carbon Black stima che i suoi clienti sanitari abbiano registrato un aumento del 9.851% dei tentativi di hacking nel 2020 rispetto all’anno precedente. E l’attività si è intensificata con la pandemia di COVID-19, i tentativi sono aumentati dell’87% da settembre a ottobre.

Beau Woods, un consulente senior per la Cybersecurity and Infrastructure Security Agency del governo federale, ha confermato che gli attacchi come quello ancora in corso a Scripps hanno semplicemente metastatizzato nell’ultimo anno.

“Il ransomware sta aumentando in termini di sofisticatezza, sta aumentando in prevalenza”, ha affermato Woods. “I fornitori di ransomware stanno generalmente reinvestindo le commissioni che riscuotono dalle entità che estorcono per acquisire maggiori capacità.

“Stanno migliorando, stanno diventando più frequenti, in particolare durante la pandemia, dove abbiamo aperto più connettività per consentire più lavoro a distanza”.

L’attuale situazione di Scripps, che, secondo diverse fonti, non è stata in grado di offrire trattamenti radioterapici ai suoi malati di cancro fino a quando l’attrezzatura adeguata non è stata finalmente in grado di essere rimessa in servizio venerdì, segue un attacco ancora più diffuso alla fine dello scorso anno.

Il 27 settembre, quello che si ritiene essere il più grande attacco ransomware nel settore sanitario, ha colpito la Universal Health Services Inc., un sistema sanitario nazionale di 400 ospedali con strutture in California, tra cui il Temecula Valley Hospital e l’Inland Valley Medical Center di Wildomar.

Ci sono volute tre settimane prima che tutte le strutture UHS tornassero alla piena operatività e la società quotata in borsa elenca 67 milioni di dollari di impatto finanziario negativo dall’attacco nel suo rapporto sugli utili del quarto trimestre, anche se non ha detto se ha pagato o meno il riscatto che gli hacker richiesto.

Quell’impatto includeva la deviazione delle ambulanze verso altri ospedali quando le cartelle cliniche elettroniche erano bloccate e inaccessibili.

Il ransomware è un software dannoso che, una volta ottenuto l’accesso a una rete digitale, può crittografare le informazioni e minacciarne l’eliminazione o peggio se non si paga il denaro è sempre più mirato al settore sanitario, conclude una recente analisi della società di consulenza Security X-Force di IBM.

L’articolo di Big Blue, che si basa sul proprio lavoro di consulenza con le aziende interessate, ha rilevato che il 28% degli attacchi all’assistenza sanitaria nel 2020 erano ransomware, rendendo il settore il settimo più attaccato, rispetto al decimo posto nel 2019.

E gli attacchi stanno diventando più cattivi.

Come notato in un rapporto dell’Office of Information Security presso l’US Health and Human Services, gli attacchi ransomware “doppie estorsioni” sono esplosi nel 2020. Mentre c’era solo una piattaforma ransomware che offriva questo triste due per uno nel 2019, altre hanno rapidamente copiato l’approccio. Ora 18 diversi tipi di ransomware sono a doppia estorsione.

Il termine minaccioso si riferisce a un tentativo di rendere più difficile per le aziende hackerate rifiutarsi di pagare i riscatti e semplicemente ripristinare i loro sistemi dai backup effettuati prima che il ransomware prendesse piede.

Le bande di hacker che solitamente operano da località estere hanno reagito scaricando dati sensibili dalle reti in cui penetrano prima di presentare richieste di riscatto.

Ora, queste richieste includono doppie minacce per pagare o rischiare di perdere dati crittografati e anche pagare o rischiare che le informazioni private dei propri clienti vengano trapelate sui siti Web in cui operano.

È stato ampiamente segnalato che uno di questi tipi di ransomware a doppia estorsione chiamato Ryuk è stato il colpevole dell’attacco UHS, sebbene la società non abbia mai rivelato formalmente l’agente patogeno digitale coinvolto.

Non è chiaro esattamente quale tipo di ransomware sia coinvolto in Scripps.

Il secondo sistema sanitario più grande della regione, con quattro campus ospedalieri e una vasta rete di cliniche, centri chirurgici ambulatoriali e altre risorse, ha dichiarato giovedì che “malware” è stato rilevato sui suoi sistemi. Una nota interna ottenuta dalla Union-Tribune Sunday implicava chiaramente un ransomware ma non ne elencava il tipo. Martedì, il Dipartimento della salute pubblica della California ha confermato in un’e-mail che è coinvolto il ransomware.

È chiaro, tuttavia, che l’attacco ha colpito Scripps molto, molto duramente in un momento in cui gli operatori sanitari della nazione stavano appena iniziando a riprendersi da un anno di lotta contro la pandemia di COVID-19.

L’attacco ha causato un diffuso dirottamento delle ambulanze da tutti gli ospedali di Scripps, portandoli fuori dal sistema di risposta medica di emergenza quando una barca si è capovolta al largo di Point Loma domenica. I sopravvissuti sono stati inviati in otto diversi ospedali in tutta la regione, ma non allo Scripps Memorial Hospital La Jolla, il centro traumatologico più vicino, perché i suoi sistemi erano inattivi.

Poiché i computer sono rimasti offline per tutta la settimana, la deviazione si è attenuata, ha affermato il dottor Eric McDonald, recentemente nominato per servire come capo ufficiale medico della contea in assenza del dottor Nick Yphantides che è stato messo in congedo amministrativo all’inizio di quest’anno per ragioni ancora inspiegabili .

Pur non operando ai normali livelli di efficienza, McDonald ha affermato che gli ospedali Scripps sono stati in grado di continuare a servire i pazienti, ricevendo un po’ di traffico di ambulanze quando necessario. La crudeltà di questo tipo di attacchi, ha aggiunto, ricade su coloro che meno se lo meritano.

“Questo è un altro stress significativo su quello che è stato un livello di stress di lunga data sul nostro intero sistema ospedaliero”, ha affermato McDonald. “Devi davvero dare complimenti e supporto ai medici, alle infermiere e a molti altri tipi di lavoratori che continuano a fornire cure mentre questo è in corso”.

I pazienti hanno generalmente affermato di aver trovato i lavoratori di Scripps competenti e cordiali nell’ultima settimana, anche se alcuni stanno iniziando a provare una notevole frustrazione per la situazione, soprattutto per la mancanza di comunicazione riguardo agli appuntamenti precedentemente programmati.

Kyle Long, un residente locale e paziente di Scripps, ha detto di aver avuto una biopsia del midollo osseo programmata per lunedì in ritardo con solo comunicazioni dell’ultimo minuto da Scripps.

“Per quanto mi riguarda, Scripps riceve una F per come hanno gestito questa violazione”, ha detto Long in un’e-mail.

Scripps ha fornito pochi dettagli su quali dei suoi sistemi, oltre alla sua cartella clinica elettronica, sono stati eliminati dall’attacco. E non ha detto se una parte delle sue cartelle cliniche sensibili sia stata sottratta ai suoi sistemi e nei server dei terroristi informatici sotto minaccia di divulgazione o vendita al miglior offerente.

Questa incertezza ha lasciato molti clienti Scripps a chiedere risposte sulla pagina Facebook dell’azienda. Molti si sono chiesti se non dovessero congelare i loro rapporti di credito e assumere servizi di protezione della reputazione per proteggersi se le informazioni dovessero fuoriuscire.

Il dottor Christian Dameff, specialista in medicina di emergenza e ricercatore di sicurezza informatica presso l’UC San Diego Health, ha affermato la scorsa settimana che, sebbene non abbia familiarità con i dettagli di ciò che è successo esattamente a Scripps, proteggersi in questi modi generalmente ha senso anche se un l’attacco non è già in corso.

Ha affermato che, in generale, è difficile per le aziende sapere immediatamente se e quante delle loro informazioni private hanno lasciato l’edificio. Non è che ci sia una sorta di cruscotto elettronico in grado di mostrare cosa è andato dove. I sistemi bloccati non sono facili da analizzare e generalmente è necessario coinvolgere esperti esterni per condurre esami forensi dei sistemi interessati al fine di determinare la profondità del danno.

“Sono sicuro che il lavoro in Scripps è in corso, ma è un lavoro complicato e noioso che richiede competenze molto specializzate per capire esattamente cosa hanno preso e quando l’hanno preso, e quindi per dare consigli su cosa i pazienti dovrebbero fare per andare avanti, ” ha detto Dameff.

Molti, tuttavia, si stanno sicuramente chiedendo come sia potuto accadere a un’organizzazione con un budget multimiliardario, nominata una delle organizzazioni “più cablate” nell’assistenza sanitaria americana solo nel 2019.

Il rapporto IBM X-Force indica che i recenti attacchi, indipendentemente dal fatto che forniscano ransomware o facilitino il furto di record, hanno sfruttato un difetto nel software che esegue server realizzati da Citrix Systems Inc. L’azienda vanta che il 100% dei 10 più grandi servizi sanitari della nazione le organizzazioni utilizzano la sua tecnologia, in particolare per ospitare sistemi di cartelle cliniche elettroniche come il software Epic impiegato da Scripps e molti altri in tutta la regione.

Nel 2019, l’azienda ha emesso un bollettino sulla sicurezza su una vulnerabilità in uno dei suoi prodotti chiamato Application Delivery Controller, precedentemente chiamato NetScaler. C’è un case study pubblicato sul sito Web di Citrix che afferma specificamente che il prodotto è stato impiegato presso Scripps.

Citrix fornisce istruzioni su come correggere la vulnerabilità, ma sembra chiaro che molte organizzazioni non eseguono quel lavoro di manutenzione critico prima che gli hacker lo utilizzino per ottenere l’accesso. Il rapporto X-Force di IBM stima che l’8% di tutti gli incidenti che il suo team X-Force ha gestito l’anno scorso ha avuto a che fare con la vulnerabilità di Citrix.

È così che gli hacker si sono fatti strada nella rete Scripps? La compagnia non dice.

“Poiché si tratta di un’indagine in corso, siamo limitati in ciò che possiamo dire. Condivideremo più informazioni non appena possibile”, ha affermato il portavoce di Scripps Keith Darce in una e-mail venerdì.

Ma la scansione e lo sfruttamento delle vulnerabilità delle apparecchiature è solo uno dei tanti modi in cui gli hacker ottengono l’accesso di cui hanno bisogno per scatenare la distruzione digitale.

Duping dipendenti che hanno già accesso è tra i metodi più comuni. Un processo chiamato phishing viene spesso utilizzato per convincere i dipendenti a condividere accessi e password su siti Web fittizi che assomigliano a quelli gestiti dalle loro aziende o per aprire allegati e-mail che si dice provengano da fonti attendibili che si rivelano programmi dannosi. Una volta all’interno delle difese digitali di un’azienda, è più facile per il software raggiungere i server remoti e scaricare un carico utile più dannoso.

Certo, ha detto Dameff, ci sono molti ottimi modi per ridurre le probabilità che gli attacchi di phishing abbiano successo. L’autenticazione a due fattori, un processo che richiede ai dipendenti di verificare i propri accessi non solo con le password ma anche con un programma che viene eseguito sui propri smartphone, può aiutare molto. Ma due fattori possono essere ingombranti in situazioni in cui la vita e la morte sono letteralmente in gioco giorno dopo giorno. Nessuno vuole creare una situazione in cui un’infermiera che risponde a un paziente morente non può accedere a informazioni critiche nella cartella clinica elettronica perché ha dimenticato il proprio smartphone.

“Autenticazione a più fattori, gestori di password e buone pratiche per le password come la scelta di password complesse, la scansione degli allegati e-mail, la sicurezza degli endpoint, sono sicuro che avevano tutto questo”, ha affermato Dameff. “Ci vuole solo una persona nell’azienda che fa clic su un collegamento per fare in modo che accada qualcosa di simile, indipendentemente da tutti i grandi controlli di sicurezza che hai messo in atto”.


Leave a Reply