Vai al contenuto principale

H-ISAC Hacking Sanità 2-9-2021

TLP Bianco: Questa settimana, Hackerare l'assistenza sanitaria inizia con un altro sguardo al ransomware. In particolare, analizziamo le tendenze emerse nel corso dell'anno passato, i dati dell'ultimo trimestre del 2020 e cosa ci dicono su dove stanno andando le cose e perché il ransomware che sta diventando meno redditizio per i criminali informatici potrebbe in realtà essere dannoso per il settore sanitario. Concludiamo analizzando una "minaccia" informatica non tradizionale che ha il potenziale di danneggiare il lancio della vaccinazione e perché le soluzioni potrebbero non essere così facili da trovare.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Bentornati Hackerare l'assistenza sanitaria.

 

1. Recensione del ransomware del 2020

Sembra una scommessa sicura che il ransomware continuerà a essere una piaga nel 2021, ma alcune informazioni appena rilasciate suggeriscono che metodi e tattiche in evoluzione contribuiranno a garantire che la situazione rimanga fluida. Una serie di recenti report ha contribuito a mettere in contesto la portata del problema e l'impatto sproporzionato che il ransomware ha avuto sul settore sanitario non sorprende. Ci sono diversi spunti degni di nota da questi dati, tra cui notizie potenzialmente incoraggianti che suggeriscono che gli attacchi ransomware stanno diventando meno redditizi per i perpetratori. Tuttavia, la nostra sezione di analisi esplorerà perché ciò potrebbe non segnalare un vantaggio per il settore sanitario.

 

Ricapitolare

 

Innanzitutto, ricapitoliamo rapidamente la situazione attuale. Le sfide affrontate dal settore sanitario sono state enormi nell'ultimo anno e i criminali informatici non hanno certamente reso più semplice la gestione del COVID-19. VMware Carbon Black ha segnalato 239.4 milioni di tentativi di attacchi informatici contro i suoi soli clienti sanitari nel 2020, culminando nella statistica quasi incredibile che "le entità sanitarie hanno visto 816 attacchi per endpoint l'anno scorso, un incredibile aumento del 9,851 percento rispetto al 2019".[1] Questa informazione arriva solo poche settimane dopo che l'azienda di sicurezza informatica Emsisoft ha segnalato che almeno 560 strutture sanitarie sono state colpite da ransomware nel 2020.[2]

 

Sfortunatamente, il ransomware più diffuso che ha colpito il settore sanitario sembra essere stato Cerber. Dilagante nel 2017, Cerber era calato notevolmente nel 2018, prima di decollare di nuovo l'anno scorso e rappresentare il 58% degli attacchi ransomware contro i clienti del settore sanitario di VMware Carbon Black.[3] Sebbene Carbon Black abbia sottolineato che Cerber è stato oggetto di aggiornamenti e adattamenti, alcuni dei successi delle varianti nel 2020 sono quasi certamente legati a vulnerabilità non corrette, evidenziando ancora una volta un'ulteriore difficoltà della sicurezza informatica nel settore sanitario.[4]

 

Un segnale positivo con un potenziale pericoloso

 

Concludendo con una notizia potenzialmente positiva, la società di risposta e recupero ransomware Coveware ha rilasciato il suo Rapporto trimestrale sul ransomware per il quarto trimestre del 4, lunedì scorso. La conclusione più significativa sembra essere la loro segnalazione che i pagamenti per ransomware sono diminuiti in modo significativo. In base ai loro numeri, il pagamento medio per ransomware è sceso di circa il 2020% rispetto al terzo trimestre del 34, scendendo a $ 3 da $ 2020.[5] Inoltre, il pagamento medio per un ransomware effettuato nel quarto trimestre ha registrato un calo ancora maggiore, di circa il 4%, passando da 55 a 49,450 dollari.[6]

 

Prima di questo ultimo rapporto, Coveware aveva segnalato un aumento costante nei pagamenti medi e mediani per ransomware a partire dal quarto trimestre del 4.[7] Coveware attribuisce il recente declino in parte all'erosione della fiducia che gli autori del ransomware che esfiltrano i dati li elimineranno effettivamente dopo aver ricevuto un riscatto. Numerosi esempi di dati "eliminati" rivenduti sul mercato nero o utilizzati per tenere un'organizzazione in ostaggio una seconda volta hanno alterato il calcolo del rischio per le vittime del ransomware.

 

Sebbene il report completo contenga molte più informazioni, alcune note interessanti hanno attirato la nostra attenzione. Innanzitutto, il phishing via e-mail continua la sua ascesa come vettore di attacco, superando il 50% e superando la compromissione RDP. In secondo luogo, circa il 70% degli attacchi ransomware nel Q4 ha comportato una minaccia di fuga di dati esfiltrati, un aumento di 20 punti percentuali rispetto al Q3.[8] Inoltre, Coveware segnala che gli attori malintenzionati stanno arrivando al punto di "fabbricare esfiltrazioni di dati in casi in cui non si sono verificate". Tuttavia, l'informazione più preoccupante potrebbe essere l'aumento segnalato da Coveware "nell'aumento dell'incidenza della distruzione irreversibile dei dati rispetto alla semplice distruzione mirata di backup o crittografia di sistemi critici".[9]

 

Azione e analisi

**È richiesta l'iscrizione**

 

 

2. L'assistenza sanitaria affronta una "minaccia" informatica non tradizionale

Mentre i team IT e di sicurezza informatica del settore sanitario si trovano già ad affrontare la ardua sfida di preservare la privacy e la sicurezza delle loro reti e dei loro dati di fronte a tutti i tipi di minacce tradizionali, statali e non statali, potrebbe esserci un'altra sfida tecnica non tradizionale in cui le loro competenze potrebbero rivelarsi utili.

 

Nella fretta di vaccinare interi paesi, le organizzazioni sanitarie si trovano ad affrontare l'inedito compito amministrativo e logistico di organizzare gli appuntamenti per i pazienti, cercando al contempo di ridurre al minimo lo spreco possibile di preziose dosi di vaccino. Per agevolare questo sforzo, molte organizzazioni hanno utilizzato una qualche forma di portale online o programmatore. Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) ha persino rilasciato un avviso di discrezionalità esecutiva per Applicazioni di pianificazione online o basate sul Web.[10] Sfortunatamente, questi pianificatori sono diventati vittime di attacchi "bot" orchestrati dagli speculatori.

 

Secondo Reuters, "i rivenditori e le farmacie statunitensi come Walgreens e CVS Health si stanno preparando per una nuova ondata di attacchi "bot" da parte di bagarini che sperano di accaparrarsi gli appuntamenti per il vaccino COVID-19".[11] Sebbene questo tipo di comportamento sia familiare a chiunque cerchi di acquistare articoli in quantità limitata, come l'ultimo gadget tecnologico o i biglietti per un evento sportivo, entrambe queste circostanze sono più facilmente classificabili come fastidio. Lo stesso non si può dire se tale comportamento inizia a influenzare in modo significativo i lanci di vaccinazioni.

 

Secondo Reuters, “[n]elle ultime settimane, le persone hanno condiviso sui social network storie dell’orrore di tentativi di ottenere appuntamenti per la vaccinazione da fonti governative, con alcuni che hanno incolpato i bot per i crash del sito e gli slot rubati”. Sia Walgreens che CVS hanno indicato di essere a conoscenza del problema e hanno istituito molteplici difese per il rilevamento e la prevenzione.

 

Azione e analisi
**È richiesta l'iscrizione**

 

 

Congresso -

 

Martedì, 9th febbraio:

– Nessuna udienza rilevante

 

Mercoledì febbraio 10th:

– Camera dei rappresentanti – Commissione per la sicurezza interna Udienza: Sicurezza informatica nazionale: valutazione delle minacce informatiche e creazione di resilienza

 

 

Giovedì 11 febbraio:

– Nessuna udienza rilevante

 

 

Internazionale Udienze/Riunioni -

 

– Nessuna udienza rilevante

 

 

UNIONE EUROPEA -

 

– Nessuna udienza rilevante

 

 

 

Varie –

 

 

 

 

Conferenze, webinar e summit –       

 

 

https://h-isac.org/events/

 

Contattaci: segui @HealthISAC e scrivi a contact@h-isac.org

 

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

  • Risorse e notizie correlate