Non che i ricercatori di sicurezza non avessero esplicitamente allertato rispetto a questo rischio, ma a tutt'oggi era ritenuta una possibilità piuttosto remota e comunque ancora non verificatasi: la realtà però, come spesso accade, supera anche le peggiori fantasie e, qualche giorno fa, si è registrato il primo morto "di ransomware".
L'attacco e la vulnerabilità di Citrix
L'University Hospital Düsseldorf (UKD), in Germania, ha subito un attacco ransomware dopo che alcuni attaccanti sono riusciti a fare irruzione nella sua rete a causa di una vulnerabilità presente in un software add-on commerciale comunemente usato a livello globale. Stando all'agenzia di cybersecurity Bundesamt für Sicherheit in der Informationstechnik (BSI), gli attaccanti hanno sfruttato la vulnerabilità CVE-2019-19781 di Citrix ADC, già conosciuta e risolta nel Gennaio 2020.
A seguito dell'attacco la rete interna è andata in down e la direzione ospedaliera si è trovata costretta a comunicare, nella tarda mattinata del 10 Settembre, la decisione di sospendere tutti i trattamenti programmati e ambulatoriali e di dirottare tutti i pazienti in condizioni gravi e critiche verso altri ospedali. I media tedeschi riferiscono anche che la polizia postale locale si è messa in contatto con gli attaccanti seguendo le indicazioni contenute nella nota di riscatto: hanno spiegato loro che l'obiettivo del cyber attacco era un ospedale e che la cosa stava pregiudicando e mettendo a rischio la salute e la vita di molte persone. La polizia infatti ha inizialmente pensato ad un errore, dato che le note di riscatto rilasciate su tutti i server criptati erano indirizzate alla Heinrich Heine University. Dopo i contatti con la polizia, gli attaccanti hanno ritirato la richiesta di riscatto (ammontante a circa 900.000 euro in Bitcoin) e fornito la chiave di decriptazione, cosa che ha permesso all'ospedale di tornare lentamente alla normalità.
Una donna è morta: si può parlare di omicidio?
La vittima, una donna, è arrivata in condizioni critiche alla clinica dell'ospedale universitario di Dusseldorf proprio mentre l'intera rete ospedaliera era in down a causa dell'attacco ransomware: come deciso dalla direzione ospedaliera, il personale sanitario ha dirottato la paziente su altro ospedale.L'ospedale più vicino si trova a Wuppertal, a circa 30 km di distanza: lo spostamento della paziente ha determinato un ritardo di più di un'ora nelle cure, cosa che potrebbe aver determinato la morte della donna. La Procura di Colonia, competente sulla zona, ha quindi aperto una indagine per omicidio colposo in quanto convinta di poter ritenere i cyber attaccanti colpevoli del reato. Siamo di fronte al primo possibile caso di omicidio conseguente ad un cyber attacco, ma anche di fronte al primo caso di morte dovuto a una cattiva gestione della sicurezza informatica nella sanità. Le indagini e il processo si occuperanno sia di provare il nesso causale tra il cyber attacco e la morte della paziente, sia di valutare eventuali responsabilità della direzione ospedaliera.
Alcuni attaccanti hanno deciso di non colpire più gli ospedali
Inutile dire quanto questo evento abbia colpito e scosso, ma è anche verosimile pensare che alcuni degli attori dei principali ransomware fossero del tutto consapevoli del rischio: CLOP, Maze, Nefilim sono solo alcuni dei gruppi ransomware che hanno già pubblicamente dichiarato di non voler condurre alcuna forma di attacco informatico contro strutture sanitarie di qualsiasi tipo. Non solo: si sono anche impegnati a fornire immediatamente e gratuitamente la chiave di decriptazione nel caso in cui dovessero erroneamente colpire un ospedale al posto di altro target.
"Abbiamo sempre provato ad evitare gli ospedali e le case di riposo, ma anche alcune istituzioni locali come il 911 (è possibile però che l'attacco si propaghi a causa di cattive configurazioni della rete). E non da adesso", hanno invece scritto gli operatori del ransomware DoppelPaymer.
Solo gli attori del ransomware Netwolker hanno preso una posizione differente, spiegando che non hanno intenzione di colpire target sanitari, ma, nel caso in cui l'attacco dovesse colpire per errore un ospedale, non forniranno la chiave e richiederanno comunque il riscatto. "Se un target viene criptato, dovrà pagare il riscatto": questa la loro lapidaria posizione.
Nessun commento:
Posta un commento