[section_title title=L’aumento del Ransomware nella sanità: “pagare o non pagare” è questo il dilemma – Parte 1]
A cura di Florian Malecki, international product marketing director, Dell Security
Un recente sondaggio condotto da HIMMS mostra che oltre il 50 percento dei fornitori di servizi sanitari negli Stati Uniti è stato colpito da un attacco ransomware negli ultimi 12 mesi. Questo trend ha iniziato a prendere piede anche in Europa, prendendo di mira due ospedali tedeschi. Le istituzioni sanitarie devono prendere le necessarie contromisure per assicurarsi che il ransomware non continui a diffondersi nel continente.
I cyber criminali si sono resi conto che il settore della sanità è interessante, proprio per la natura sensibile dei dati dei pazienti e la dipendenza dai sistemi IT per gestire workflow critici. Immaginiamo non essere in grado di accedere ai risultati di laboratorio nel pronto soccorso, impedendo ai medici di fare diagnosi su pazienti critici perché non hanno a disposizione i dati necessari. Se la vita del paziente è a rischio, pagare il riscatto potrebbe sembrare la miglior soluzione.
Il ransomware esiste da molto tempo, ma non è stato così diffuso o profittevole. A differenza di altre tipologie di malware che tentano di esportare i dati, il ransomware crea il caos cifrando file o dati di valore o bloccando il sistema fino a che le richieste non vengono soddisfatte. Rubare il numero di carta di credito e utilizzarlo per perpetrare delle frodi è diventato sempre più difficile perché bisogna fare diversi passaggi e le banche e i commercianti hanno messo in atto dei controlli a ogni passo per eventualmente prevenire la transazione. Il ransomware, d’altro canto, richiede meno passaggi per essere eseguito e trae vantaggio dall’urgenza e il panico che genera per indurre al pagamento. Inoltre, l’anonimato offerto da TOR Network (aka Dark web) e BIT Coins, rappresenta la fuga perfetta. Secondo Forbes, il ransomware Locky infetta circa 90.000 sistemi al giorno e tipicamnete chiede agli utenti 0,5-1 bitcoin ($420) per sbloccare i sistemi. Beazley Breach Response Services ha identificato 18 breach in ambito sanitario che potrebbero essere attribuiti a ransomware nei primi tre mesi del 2016.
Il vettore di attacco tipico del ransomware
Nella maggior parte dei casi l’attacco ransomware parte da una email di phishing. Il rapporto 2015 Verizon Data Breach Investigation mostra che il 23 percento dei riceventi apre le email di phishing e l’11 percento clicca sugli allegati. Questo significa che, su 100 riceventi, 2 cadranno nel tranello, un numero significativo!
Un approccio più mirato di phishing, denominato “spear phishing”, dimostra un’efficacia ancora maggiore. Che probabilità c’è che si clicchi su una mail che sembra arrivare dal laboratorio di fiducia con allegati i risultati delle analisi? O un messaggio dalla Polizia per una multa per un eccesso di velocità in un giorno/orario/luogo che coincide con il percorso quotidiano con un link ai dettagli dell’infrazione? Una volta che si clicca, il link apre un sito spoofed che fa scattare un drive-by-download per installare il ransomware sull’endpoint. Altri metodi includono chiavette USB infette, lo sfruttamento di vulnerabilità su applicazioni software senza patch, malvertisement (cliccare su una pubblicità può reindirizzare gli utenti da un sito innocuo a una landing page malevola), e altri.
Molti dei controlli di sicurezza tradizionali non sono in grado di identificare il ransomware se cercano solo comportamenti inusuali e indicatori standard di compromissione. Una volta nel sistema, il ransomware si comporta come un’applicazione di sicurezza e può negare l’accesso ad altri sistemi/programmi. Di solito lascia i file e i sistemi sottostanti inalterati e impedisce solamente l’accesso all’interfaccia. Insieme al social engineering può essere alquanto efficace. Sullo schermo si visualizza una scritta che dichiara che la Polizia ha bloccato il computer perché sono stati scaricati film piratati, seguita da una telefonata da parte di un “agente” che chiede un pagamento. Al di là dei dispositivi tradizionali, qualunque device connesso può essere a rischio compresi cellulari, dispositivi medicali, wearable, e sensori IoT.
Il ransomware può inoltre comportarsi come un programma di cifratura e operare in background crittografando specifiche tipologie di file (e.g. Excel, PDF, Word, .pst e altri). I file cifrati avranno un’estensione modificata e non possono essere aperti dalle applicazioni native. La richiesta di riscatto segue poco dopo, spesso con un limite di tempo oltre il quale la chiave di decifratura verrà definitivamente distrutta. Oggi vediamo che gli attacker usano algoritmi standard (RSA, 3DES, AES) più di frequente e tecniche di cifratura asimmetriche rendendo praticamente impossibile la decifratura senza la chiave. Una volta che il riscatto è stato pagato, la chiave viene inviata alla vittima per il ripristino dei file.
Alcuni dei ransomware che hanno colpito le istituzioni sanitarie di recente sono Samsam, Maktub Locker, Locky, TeslaCrypt e WinPlock4.
Per scoprire come proteggersi da queste minacce proseguite la lettura alla pagina seguente
