Attacco ransomware all’Ospedale Universitario di Düsseldorf
di Federico Serini
Sommario
1. Il fatto 2. Cos’è un ransomware e perché può essere così pericoloso? 3. Le cause dell’attacco 4. I rimedi 5. Il quadro normativo sulla protezione delle infrastrutture critiche in Italia. 6. Conclusioni
1. Il fatto
Secondo quanto riportato dalla stampa tedesca (clicca qui), il 17 settembre, l’Ospedale Universitario di Düsseldorf è stato “accidentalmente” vittima di un attacco informatico che avrebbe colpito 30 dei server della struttura, rendendo così i computer dell’ospedale inaccessibili. La volontà di non colpire tale obiettivo sarebbe desumibile dall’immediata collaborazione posta in essere, mediante l’invio della chiave di decrittazione da parte degli stessi crackers alle autorità di polizia, dopo che queste li avrebbero informati che l’attacco aveva colpito una struttura ospedaliera, causando gravi problemi al funzionamento dell’intera rete e mettendo in serio pericolo la vita di molti pazienti.
Il rapporto del ministro della giustizia tedesco ha riferito infatti che l’attacco fosse in realtà diretto verso l’Università di Düsseldorf, di cui però fa parte anche la struttura ospedaliera.
L’interruzione del servizio ospedaliero è stata tuttavia fatale per una donna che versava in gravi condizioni di salute e a cui non sarebbe stato possibile fornire soccorso durante l’attacco, causandone così il decesso per mancato tempestivo intervento.
Nonostante la collaborazione dei criminali nel fornire la chiave per disabilitare il blocco del sistema (ossia la chiave di decrittazione), gli operatori del nosocomio hanno dichiarato di essere ancora alle prese con le conseguenze dell’evento, che ha portato a deviare il servizio di primo soccorso verso altre strutture ospedaliere e a rinviare gli appuntamenti e gli interventi chirurgici fino a quando il sistema non sarà completamente ristabilito.
2. Cos’è un ransomware e perché può essere così pericoloso?
L’attacco che ha colpito l’Ospedale Universitario di Düsseldorf è stato perpetrato mediante un c.d. “ransomware”, ossia un tipo di malware che rende indisponibili i dati dei computer infettati mediante il criptaggio di file, cartelle o dell’intero sistema e chiedendo il pagamento di un riscatto, per l’appunto un ransom, solitamente in bitcoin, per il ripristino.
Potrà comprendersi che tale strumento di minaccia sia spesso utilizzato dai criminali con il principale intento di estorcere danaro alle vittime prendendo in “ostaggio” i loro dispositivi.
Come per diverse altre tipologie di attacchi informatici, tale minaccia avviene sfruttando tecniche volte a porre la vittima in uno stato di pressione psicologica. Nello specifico, gli attacchi ransom sono soliti manifestarsi con un avviso, al posto della schermata desktop, ove compare una richiesta di riscatto da adempiersi entro tempi brevi, pena, l’inutilizzabilità del dispositivo e dei dati.
(esempio di schermata del noto ransomware “Wannacry”, downloaded from: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/).
3. Le cause dell’attacco
I crakers veicolano tale tipo di minaccia attraverso diversi canali, quali banner pubblicitari o mail (si presentano come allegati apparentemente innocui come, ad esempio, file PDF, provenienti da mittenti legittimi come soggetti istituzionali o privati). Tuttavia, nell’attacco verso l’ospedale tedesco, sembra che il malware abbia sfruttato una vulnerabilità nota dei gateway prodotti dalla Citrix, denominata CVE-2019-19781.
Alcuni giorni precedenti l’attacco, la Bundesamt für Sicherheit in der Informationstechnik (BSI), ossia l’agenzia governativa della repubblica federale tedesca responsabile per la sicurezza informatica, aveva avvisato il nosocomio della presenza di tale debolezza nel sistema. Secondo quanto emerge dal comunicato pubblicato sul sito dell’agenzia (clicca qui), l’ospedale universitario era stato coinvolto in un incidente di sicurezza il 10 settembre, proprio sui sistemi Citrix. La causa dell’evento era stata attribuita al mancato aggiornamento dei sistemi, nonostante la stessa azienda di produzione avesse debitamente segnalato e pubblicato sul proprio sito, nel gennaio 2020, la scoperta di tali vulnerabilità, ed avesse esortato i propri clienti “to immediately upgrade to a fixed build OR apply the provided mitigation which applies equally to Citrix ADC, Citrix Gateway and Citrix SD-WAN WANOP deployments” (clicca qui).
4. I rimedi
Altro aspetto di meritevole attenzione attiene certamente alla c.d. continuità operativa. Gli effetti prodotti dall’attacco in questione non possono infatti essere circoscritti alla sola temporanea interruzione del sistema. Secondo quanto riferito dal direttore commerciale del nosocomio, attualmente non è possibile stimare entro quando il sistema sarà completamente ripristinato (clicca qui), con conseguenze che si abbatteranno sui pazienti in cura presso l’ospedale e sull’intera comunità locale.
Sembra pertanto possibile concludere che tra le cause principali che hanno portato l’ospedale a cadere nella trappola dei criminali, vi siano, la mancata verifica degli aggiornamenti e la mancata implementazione di un piano per la continuità operativa.
Relativamente alla prima causa, non è raro che gli attacchi informatici sfruttino vulnerabilità persistenti nel sistema dovute alla mancata implementazione degli aggiornamenti. L’evolversi delle minacce informatiche impone infatti sempre più frequenti interventi di upgrade da parte degli sviluppatori e la loro necessaria installazione da parte degli utilizzatori. Preme tuttavia precisare che in questo caso, tanto la casa di produzione dei gateway, la Citrix System, che l’Autorità tedesca BSI, avevano avuto cura di segnalare tale vulnerabilità.
Passando invece alla seconda causa, tra i rimedi preventivi utili a mitigare l’impatto causato da un attacco di tipo ransomware, vi è certamente quello di implementare politiche e procedure di back-up. Il fine è quello di salvare regolarmente le informazioni in dispositivi di archiviazione esterni off-line (come una memoria esterna, altro computer, chiave USB, ecc.), in modo che sia possibile fare affidamento sui dati conservati all’interno di tali dispositivi in caso di attacco.
Molte realtà complesse e strutturate, preferiscono pagare la somma richiesta dai criminali a titolo di riscatto, piuttosto che implementare misure di back-up. Tale strategia non è certamente una valida soluzione al problema.
Si raccomanda infatti di non adempiere a quanto richiesto dagli estorsori. Oltre a finanziare gli stessi per altre attività malevole, e quindi rendere l’offesa efficace, il pagamento potrebbe non garantire una soluzione definitiva. Come affermato da Paolo Dal Checco, consulente informatico forense, nell’intervista di Carola Frediani (vedi #Cybercrime. Attacchi globali, conseguenze locali, Hoepli, 2019) in merito alla riscossione del “bottino” nella nota campagna ransom WannaCry, “la stragrande maggioranza delle segnalazioni parlano di vittime che hanno versato i bitcoin e poi non sono riuscite a comunicarlo ai delinquenti”, oppure potrebbe anche esserci un bug nel malware tale da rendere i dati criptati irrecuperabili anche con la chiave giusta.
A tal fine, si segnala l’iniziativa di cooperazione internazionale “No More Ransom!” (di cui si invita a visitare il sito al seguente link: https://www.nomoreransom.org/it/index.html), promossa dal National High Tech Crime Unit della polizia olandese, dallo European Cybercrime Centre dell’Europol e dalle aziende attive nel settore della sicurezza informatica Kaspersky e McAfee, con l’obiettivo di aiutare le vittime di ransomware a recuperare i loro dati criptati, senza dover pagare i criminali.
Attraverso lo sviluppo del tool “Crypto Sheriff”, i promotori del Progetto hanno infatti inteso correre in soccorso delle vittime di ransomware, siano esse singoli privati o imprese, individuando il tipo di ransom che ha infettato il dispositivo e verificare se esiste una soluzione disponibile.
5. Il quadro normativo sulla protezione delle infrastrutture critiche in Italia
Sebbene dalle dichiarazioni degli organi inquirenti tedeschi sembri che gli attaccanti di Düsseldorf non avessero intenzione di colpire l’ospedale universitario, le strutture ospedaliere sono tuttavia state le protagoniste di altre serie di attacchi ransomware, come ad esempio il già citato “Wannacry” nel 2017, o “NotPetya” nel 2018.
Secondo la stima del Rapporto CLUSIT 2020 (clicca qui), rispetto agli scorsi anni, nel corso del 2019 si è potuto assistere ad un calo degli attacchi ransomware generalizzati a scapito di attacchi mirati verso specifici obiettivi, perlopiù infrastrutture critiche, di cui in particolare gli ospedali.
Il trend sembra trovare conferma anche nel bilancio di quest’anno, considerati i recenti attacchi condotti durante il periodo di lockdown verso le strutture sanitarie Fatebenefratelli di Erba e il Lazzaro Spallanzani di Roma, impegnato tra l’altro come centro di ricerca nazionale per il vaccino anti-covid.
La materia è disciplinata nel D.Lgs. 18 maggio 2018, n. 65, con il qualel’Italia ha ratificato la c.d. direttiva NIS (Network Information Security), ossia la direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Tale intervento di diritto derivato ha permesso di individuare un primo perimetro di applicazione della normativa a tutela dei sistemi informativi di diversi attori, tra cui i c.d. operatori di servizi essenziali (OSE), individuati nel relativo Allegato II (tali sono i soggetti pubblici o privati operanti nei settori dell’energia, dei trasporti, bancario, mercati finanziari, sanitario, idrico e infrastrutture digitali).
Gli operatori individuati sono tenuti ad osservare una serie di obblighi, di cui particolare rilievo assumono quelli disciplinati all’art. 12 com. 1, 2 e 5. Il com. 5 prevede che gli operatori provvedano a notificare al Computer Security Incident Response Team italiano (d’ora in poi CSIRT) e, per conoscenza, all’autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali. Inoltre, ai sensi dall’art. 13 è previsto che“nei casi di incidenti che comportano violazioni di dati personali, l’autorità competente NIS opera in stretta cooperazione con il Garante per la protezione dei dati personali”.
Ai commi 1 e 2, si dispone invece che gli operatori adottino “misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni”, tali da “prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi”. In caso contrario, l’operatore incorrerà nella irrogazione delle sanzioni amministrative individuate all’art. 20 del decreto legislativo.
Inoltre, in attesa della puntuale definizione da parte del CISR, dei soggetti afferenti al c.d. perimetro di sicurezza cybernetico, disciplinato dal D.L. 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133, è presumibile ritenere che ve ne facciano parte anche gli ospedali, in quanto strutture preposte a garantire il godimento del diritto fondamentale alla salute. Tale perimetro è infatti costituito dai soggetti pubblici e privati “da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche, fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.
A tal proposito, il decreto-legge riprende all’art. 1 com. 8 lett. b) quanto previsto dal D.lgs. 65/2018, ossia che i soggetti afferenti al perimetro di sicurezza assolvano all’obbligo di notifica degli incidenti informatici “aventi impatto su reti, sistemi informativi e servizi informatici” allo CSIRT, “che costituisce anche adempimento, rispettivamente, dell’obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65”.
Sembra pertanto possibile ritenere che in caso di un attacco informatico, anche di tipo ransomware, avente “un impatto rilevante sulla continuità dei servizi essenziali”, i c.d. OSE, comprese le strutture ospedaliere, saranno tenute a notificare prontamente l’accaduto allo CSIRT (di cui si invita a visitare il sito al presente link: https://csirt.gov.it/home).
6. Conclusioni
Il triste evento di Düsseldorf sembrerebbe essere il primo caso di decesso indirettamente causato da un attacco informatico. Sebbene uno studio del 2019, condotto da alcuni ricercatori della Vanderbilt Univesity (clicca qui), abbia dimostrato che anche nel noto attacco “WannaCry” del 2017 fosse indirettamente aumentata la percentuale di mortalità dei pazienti negli ospedali colpiti.
In entrambi i casi si tratta di eventi gravi non trascurabili, ove gli attacchi informatici hanno causato rallentamenti e temporanee interruzioni del servizio ospedaliero.
La rivoluzione digitale a cui stiamo assistendo porta quindi a riflettere sui temi della sicurezza e della protezione delle reti, dei sistemi e dei servizi informatici nelle infrastrutture essenziali dello Stato. I casi citati hanno infatti mostrato come le vulnerabilità di tali sistemi possano essere facilmente sfruttate da attori malevoli con gravi impatti sulla popolazione. Inoltre, preme precisare che, relativamente al settore sanitario, il rischio sembrerebbe interessare non solo la sicurezza delle reti informatiche, ma anche la sicurezza dei dispositivi medici impiantati sui pazienti, sempre più connessi alla rete per mezzo di tecnologie IoT, tali da renderli esposti, questa volta direttamente, ad attacchi da parte di cybercriminali che potrebbero prenderne il controllo (clicca qui).
La consapevolezza è il primo passo efficace verso la prevenzione da simili rischi, sebbene la sicurezza assoluta non sia mai possibile. Le normative citate costituiscono una garanzia necessaria, tuttavia solo attraverso la diffusione di una cultura della “cybersicurezza” sarà possibile accelerare tale processo di prevenzione dai rischi per la sicurezza delle reti, dei sistemi informativi e dei servizi informatici, e rendere tali garanzie effettive.
Foto di Pete Linforth da Pixabay