settembre 29, 2020
Ransomware: basta scherzi
Per prima cosa: una piccola introduzione…
Il 10 settembre scorso, il ransomware-malware DoppelPaymer ha cifrato 30 server di un ospedale della città tedesca di Dusseldorf, a causa del quale la capacità di gestire il numero di pazienti malati è diminuita drasticamente. Una settimana fa, a causa di questo calo, l’ospedale non è stato in grado di accettare una paziente che aveva bisogno di un’operazione urgente, ed è stato organizzato il trasferimento in un ospedale di una città vicina. La paziente è deceduta durante il tragitto. È stato il primo caso conosciuto di perdita di vite umane a seguito di un attacco ransomware.
Un caso davvero molto triste, soprattutto se si guarda più da vicino: c’è stato un “incidente” fataledi per sé (presumendo che i cyberciminali non prevedessero una fatalità simile a seguito delle loro orribili azioni); c’è stata anche una chiara negligenza nel seguire le regole di base dell’igiene della sicurezza informatica; e c’è stata anche un’incapacità da parte delle forze dell’ordine di contrastare con successo i criminali responsabili.
I cybercriminali hanno attaccato la rete dell’ospedale attraverso una vulnerabilità (nota anche come Shitrix) sui server di Citrix Netscaler, che ea stata risolta già a gennaio. Sembra che gli amministratori di sistema abbiano aspettato troppo a lungo prima di installare la patch, e nel frattempo i cybercriminali sono riusciti a penetrare nella rete e a installare una backdoor.
Fino a qui, questo è quanto. Da qui in poi: possiamo fare congetture che non possono essere confermate, ma che sembrano essere probabili…
Non si può escludere che, dopo un certo tempo, l’accesso alla backdoor sia stato venduto ad altri cybercriminali su forum illegali come “accesso a una backdoor di una università”. L’attacco, infatti, era inizialmente diretto alla vicina Uuniversità Heinrich Heine. È questa università che è stata indicata nelle e-mail degli estorsori che richiedevano il pagamento di un riscatto per la restituzione dei dati cifrati. Quando i criminali informatici hanno scoperto che si trattava di un ospedale e non di un’università, hanno subito consegnato tutte le chiavi di cifratura (e poi sono scomparsi). Sembra che gli ospedali attaccati dal malware non siano così attraenti per i criminali informatici, sono considerati beni troppo “tossici” (come è stato dimostrato, purtroppo, nel peggiore dei modi in questo frangente).
È probabile che, dietro DoppelPaymer, ci sia il gruppo di cybercriminali di lingua russa Evil Corp, un gruppo composto da decine di diversi criminali informatici di alto profilo (anche sulla rete di Garmin) Nel 2019, il governo degli Stati Uniti ha formulato un atto d’accusa per i facenti parte di Evil Corp, e ha offerto una ricompensa di cinque milioni di dollari per chi offrisse dell’aiuto per la loro cattura. Curiosamente le identità dei criminali sono note, e fino a poco tempo fa si pavoneggiavano e mostravano il loro stile di vita da gangster, anche sui social network.
Dove stiamo andando a finire? Ci sono così tante cose che non vanno. In primo luogo, è assurdo gli ospedali patiscono le conseguenze di un ransomware anche se, almeno nel caso fatale di Dusseldorf, sembra che si sia trattato di un caso di errore di identità (era un ospedale e non un’università). In secondo luogo, c’è il fatto che le università sono state prese di mira (spesso per rubare dati di ricerca, anche in relazione al COVID-19). Ed ecco il mio “terzo” fattore di sgomento, dal punto di vista della sicurezza informatica…
Come può un ospedale essere così disattento? Non colmare una vulnerabilità in tempo, lasciando la porta spalancata ai cybercriminali che entrano senza problemi e installano backdoor? Quante volte abbiamo ripetuto che FreeBSD (che è ciò su cui lavora Netscaler) non è in alcun modo una garanzia di sicurezza, anzi è proprio il contrario: un “falso amico” di un esperto di sicurezza informatica? Questo sistema operativo è ben lungi dall’essere immune e ha delle debolezze che possono essere utilizzate in attacchi sofisticati. E poi, naturalmente, c’è il fatto che un’istituzione così critica come un ospedale (e anche le infrastrutture), ha bisogno di avere una protezione a più livelli, dove ogni livello supporta gli altri: se l’ospedale avesse avuto una protezione affidabile installata sulla sua rete, i cybercriminali probabilmente non sarebbero mai riusciti a fare quello che hanno fatto.
La polizia tedesca ora sta indagando sulla catena di eventi che ha portato alla morte della paziente. E spero che le autorità tedesche si rivolgano a quelle russe con una richiesta formale di collaborazione per la detenzione dei criminali coinvolti.
Vedete, affinché la polizia possa iniziare un procedimento penale, è necessario come minimo presentare una dichiarazione o una richiesta formale o l’oggetto di un reato commesso. Questo o quell’articolo sul giornale o qualche altro tipo di commento o annuncio non formale non sono riconosciuti dall’ordinamento giuridico. Niente richiesta formale, niente caso. Altrimenti gli avvocati farebbero facilmente crollare l’accusa in un batter d’occhio. Tuttavia, se c’è quella che sembra una prova credibile di un crimine commesso, c’è una procedura di collaborazione intergovernativa che deve essere seguita. Tutto molto formale sì, ma è così che funziona. I governi devono superare i loro pregiudizi politici e agire insieme. Ci sono già persone che stanno morendo, e mentre la cooperazione internazionale è in gran parte congelata dalla geopolitica, i criminali informatici continueranno a fare quello che vogliono e a danneggiare l’umanità.
P.S.: È stato fatto il primo passo versola ripresa della cooperazione in materia di sicurezza informatica. Incrociamo le dita…
Ad ogni modo, avete notato come non ci siano quasi mai notizie di attacchi riusciti da parte di cybercriminali contro organizzazioni russe e che coinvolgono ransowmare? Vi siete mai chiesti perché? Personalmente non mi parlerò nemmeno per un attimo delle stupide teorie della cospirazione su questi criminali informatici che lavorano per i servizi segreti russi, dato che ci sono molti gruppi in tutto il mondo. Ecco perché, a mio avviso: perché la maggior parte delle aziende russe sono protette da una protezione informatica di buona qualità, e presto saranno protette da un sistema operativo cyber-immune, sì, proprio quella protezione che è stata vietata per l’uso nelle istituzioni statali statunitensi. Andate a capire.
P.P.S.: Proprio ieri è stato segnalato un attacco ransomware su una delle più grandi catene ospedaliere d’America, la UHS: i suoi computer, che operano su circa 250 strutture in tutto il Paese, sono stati disattivati, il che ha portato a cancellare operazioni, a deviare le ambulanze e a dover completare i ricoveri dei pazienti su carta. Non sono ancora disponibili ulteriori dettagli…