Blog WatchGuard

Sistema sanitario irlandese paralizzato da attacco ransomware

Il 14 maggio il sistema di gestione del servizio sanitario irlandese (HSE) ha subito un grave attacco informatico ransomware. L’attacco ha avuto luogo nelle prime ore del mattino e ha causato un tale impatto da costringere l’organizzazione ad arrestare temporaneamente i suoi sistemi IT fino alla risoluzione dell’incidente, che ha causato numerosi problemi nella fornitura di servizi e nell'assistenza medica.

Innanzitutto, tutti gli appuntamenti del giorno, con alcune eccezioni specifiche (donne in stato di gravidanza da almeno 36 settimane), sono stati cancellati. Inoltre, durante queste ore è stato necessario effettuare la registrazione manuale cartacea di molte informazioni per i pazienti già ammessi. Anche se il programma di vaccinazione per la pandemia da COVID-19 non ha subito particolari conseguenze, si sono verificati dei ritardi nella ricezione dei risultati dei test. Forse la conseguenza più grave è stata la necessità di interrompere anche alcuni servizi di oncologia e radiologia in diversi ospedali.

Considerate le conseguenze dell'incidente, non sorprende che il responsabile dell'HSE l'abbia descritto come l’attacco di crimine informatico più significativo sferrato allo stato irlandese. Poco dopo l'incidente, il Taoiseach (primo ministro irlandese) Micheál Martin ha assicurato che il governo non avrebbe ceduto alle richieste degli aggressori e non avrebbe pagato il riscatto.

Questa dichiarazione non ha fermato i piani del gruppo di hacker, che in seguito ha pubblicato online un primo campione di dati clinici di 12 pazienti e, alla fine di maggio, i dati di altri 520 pazienti. Ma chi è stato il responsabile dell’attacco e quale ransomware è stato usato?

Le forze di sicurezza e gli analisti lo hanno identificato rapidamente in Conti, uno strumento ransomware progettato dal gruppo russo Wizard Spider che lo offre ai suoi affiliati come modello RaaS (Ransomware-as-a-Service). Generalmente, il vettore di attacco comprende e-mail di phishing contenenti link di Google Docs, che, se selezionati da un utente, scaricano il loader dello strumento nei sistemi. Una volta eseguito, blocca tutti i sistemi con la crittografia AES-256.

Backup, aggiornamenti, best practice e protezione completa degli endpoint

Le informazioni su Conti condivise sopra sono state fornite da un altro servizio sanitario pubblico, nello specifico la sezione digitale e tecnologica dell’NHS del Regno Unito. Conti è già noto per le sue attività contro le organizzazioni di questo settore. Considerati i danni che può causare, come avvenuto in Irlanda, è evidente che le istituzioni e le strutture sanitarie hanno bisogno di attuare una strategia proattiva di sicurezza informatica, in collaborazione con il loro fornitore di servizi gestiti (MSP), per essere pronte ad affrontare tali incidenti. La strategia deve includere misure quali:

  • Backup di tutti i sistemi: i backup devono essere archiviati di frequente, in più posizioni, e alcuni di essi devono essere completamente offline.
  • Buone prassi di sicurezza informatica: si afferma spesso che le persone sono il firewall principale, ma costituiscono anche un fattore chiave che spesso gli hacker sfruttano ricorrendo all’inganno e al social engineering. Se il personale è sufficientemente consapevole delle minacce, si riduce la probabilità che apra e-mail o selezioni link in e-mail che appaiono sospette, come è avvenuto con Conti.
  • Aggiornamenti: un altro punto di ingresso per i ransomware sono le vulnerabilità nei sistemi operativi e nelle applicazioni software di terze parti come Java, Adobe, Firefox e così via. È quindi necessario che tutti dispongano il più possibile degli aggiornamenti di sicurezza più recenti.
  • Protezione completa all'endpoint: le misure descritte sopra, da sole, non sono sufficienti considerato che oggi gli attacchi informatici sono sempre più numerosi e sempre più sofisticati. Gli MSP hanno bisogno di un servizio avanzato di prevenzione, rilevamento e risposta alle minacce che offra una protezione completa all’endpoint, basata su un approccio Zero Trust verso qualsiasi codice, indipendentemente da quanto possa apparire legittimo. WatchGuard EPDR (Endpoint Protection Detection and Response) soddisfa questa esigenza con il suo servizio applicativo Zero Trust e il servizio di ricerca delle minacce inclusi senza costi aggiuntivi. Inoltre, è integrato con altre soluzioni di sicurezza informatica in WatchGuard Cloud per formare una piattaforma unificata che consenta ai MSP di gestire la sicurezza della rete, degli endpoint e dell'autenticazione a più fattori da una console unificata, fornendo ai clienti una protezione multilivello che facilita la gestione.