Il sistema sanitario statunitense sotto minaccia. E’ l’avvertimento che lancia l’Fbi, preoccupato per i possibili rischi dovuti all’attacco di ransomware in corso da parte di criminali informatici.
Secondo le agenzie federali, sarebbe in corso un’ondata di tentativi di estorsione di scrambling di dati contro il sistema sanitario statunitense per bloccare i sistemi informativi ospedalieri. Un grosso pericolo per tutta la popolazione, considerato che, con l’aumento dei casi di Covid-19, questi attacchi potrebbero danneggiare le procedure di assistenza ai pazienti.
Ieri, in un’allerta congiunta, l’FBI e due agenzie federali hanno avvertito di avere “informazioni credibili su una minaccia crescente e imminente di criminalità informatica per gli ospedali e gli operatori sanitari statunitensi”. L’allarme è stato lanciato in collaborazione con il Department of Homeland Security e il Department of Health and Human Services.
L’allerta afferma che i gruppi criminali stanno prendendo di mira il settore con attacchi che producono “furto di dati e interruzione dei servizi sanitari”. Gli attacchi informatici prevedono l’uso di un ransomware, che trasforma i dati in parole incomprensibili che possono essere sbloccate solo con chiavi software fornite una volta che gli obiettivi hanno pagato. Esperti di sicurezza indipendenti affermano che questa settimana sono già finiti nel mirino almeno cinque ospedali statunitensi, ma il fenomeno potrebbe potenzialmente estendersi su centinaia di altri. Questa offensiva di una banda criminale di lingua russa avrebbe luogo in concomitanza con le elezioni presidenziali statunitensi, sebbene non vi sia alcuna indicazione immediata che le azioni siano motivate da qualcosa di diverso dal profitto. “Stiamo vivendo la più significativa minaccia alla sicurezza informatica mai vista negli Stati Uniti ”, ha affermato in una nota Charles Carmakal, direttore tecnico dell’azienda di sicurezza informatica Mandiant.
Un’offensiva senza precedenti
Alex Holden, Ceo di Hold Security, che ha seguito da vicino il ransomware in questione per più di un anno, ha convenuto che l’offensiva in corso è di entità senza precedenti per gli Stati Uniti, dato il suo tempismo nel quadro delle elezioni presidenziali e della peggior pandemia globale dell’ultimo secolo. I criminali informatici utilizzano un ceppo di ransomware noto come Ryuk, che viene seminato attraverso una rete di computer zombie chiamata Trickbot che Microsoft ha iniziato a cercare di contrastare all’inizio di ottobre. Secondo quanto riferito, anche il Cyber Command degli Stati Uniti ha intrapreso un’azione contro Trickbot. Sebbene Microsoft abbia avuto un notevole successo nel mettere offline i suoi server di comando e controllo attraverso azioni legali, gli analisti affermano che i criminali stanno ancora trovando modi per diffondere Ryuk.
Gli Stati Uniti hanno assistito a un’esplosione di ransomware negli ultimi 18 mesi, con le principali città, da Baltimora ad Atlanta, colpite e i governi e le scuole locali sotto attacco. A settembre, un ransomware ha ostacolato tutte le 250 strutture statunitensi della catena ospedaliera Universal Health Services, costringendo medici e infermieri a fare affidamento su carta e matita per la tenuta dei registri e rallentare il lavoro di laboratorio. I dipendenti hanno descritto le condizioni caotiche che, a seguito dell’attacco, hanno ostacolato la cura del paziente, comprese le attese in pronto soccorso e il guasto delle apparecchiature di monitoraggio dei segni vitali wireless.
Richiesti riscatti da 10 milioni di dollari a bersaglio
Sempre a settembre, la prima conseguenza nota relativa al ransomware si è verificata a Dusseldorf, in Germania, quando un guasto del sistema IT ha costretto un paziente in condizioni critiche a essere indirizzato a un ospedale di un’altra città. Holden ha detto di aver allertato le forze dell’ordine federali venerdì dopo aver monitorato i tentativi di infezione in un certo numero di ospedali, alcuni dei quali potrebbero aver respinto gli attacchi. L’Fbi ha fatto presente che il gruppo chiedeva riscatti ben oltre i 10 milioni di dollari per bersaglio e che i criminali coinvolti nel dark web stavano discutendo piani per tentare di infettare più di 400 ospedali, cliniche e altre strutture mediche. “Questi criminali si aspettano di provocare il panico, ma non stanno colpendo i sistemi elettorali”, ha aggiunto Holden. “Stanno colpendo dove fa ancora più male e lo sanno”.
Mandiant: “Governo russo a conoscenza delle operazioni”
Charles Carmakal di Mandiant ha identificato la banda criminale come UNC1878, dicendo che “sta deliberatamente prendendo di mira e interrompendo gli ospedali statunitensi, costringendoli a deviare i pazienti verso altri fornitori di assistenza sanitaria” e producendo ritardi prolungati nelle cure critiche. Ha definito il gruppo dell’Europa orientale “uno degli attori di minacce più sfacciati, senza cuore e dirompenti che ho osservato durante la mia carriera”. Sebbene nessuno abbia dimostrato sospetti legami tra il governo russo e le bande che usano la piattaforma Trickbot, Holden non ha “dubbi che il governo russo sia a conoscenza di questa operazione di terrorismo”.
