Il ricatto alla regione Lazio ha notevoli precedenti
I ransomware sono frequenti, soprattutto contro le strutture ospedaliere. Dal Regno Unito alla Germania, ecco cosa avremmo potuto imparare
L’11 settembre 2020 un ransomware ha attaccato una trentina di server dell’ospedale universitario di Düsseldorf, Germania, costringendo l’ospedale a prendere misure d’emergenza. Ci fu un morto in conseguenza a quel blackout. Nel 2017 era stata la volta di WannaCry
L’attacco informatico subito dalla regione Lazio ha numerosi precedenti. Negli ultimi anni i gruppi criminali online hanno aumentato esponenzialmente gli attacchi contro il settore della Sanità. Molti non finiscono sui giornali, vengono mediati e risolti nel giro di poco tempo, altri hanno un impatto mediatico soprattutto per le conseguenze sulla popolazione. L’11 settembre un ransomware – cioè un tipo di programma informatico che cripta, cioè rende illeggibili i dati di un computer o di un intero sistema e chiede un pagamento in cambio della chiave di lettura – attacca una trentina di server dell’ospedale universitario di Düsseldorf, in Germania, costringendo l’ospedale a prendere misure d’emergenza.
I terminali sono in blackout, e quindi si riduce al minimo l’attività dell’ospedale, non si accettano nuovi pazienti. Quelli più gravi cominciano a essere trasferiti nelle strutture più vicine, il Pronto soccorso viene chiuso. Nel frattempo, una donna di 78 anni con un aneurisma aortico ha bisogno di cure urgenti: dall’ambulanza i paramedici telefonano all’ospedale universitario, gli viene risposto che non è possibile accettare nuovi pazienti. Si decide di trasportare la donna all’ospedale più vicino, a mezz’ora di tragitto. Nel viaggio in ambulanza la donna muore. Per circa due mesi la procura di Colonia indaga contro il gruppo di criminali online per omicidio colposo. Si sospetta che la morte della donna sia una conseguenza diretta del ransomware. Alla fine delle indagini, però, la procura sostiene di non avere abbastanza prove, e la legge vigente rende particolarmente difficile dimostrare la causa-effetto.
Tre anni prima, l’attacco del ransomware chiamato “WannaCry” era costato al Regno Unito circa 92 milioni di sterline. Il 12 maggio del 2017 parte, molto probabilmente dall’Asia, un attacco informatico su larga scala, il primo di questo genere, che infetta circa 200 mila computer in 150 paesi tra la Russia, l’India e Taiwan. Il computer infettato si blocca e appare una scritta in cui si richiede il pagamento di un riscatto in bitcoin. WannaCry riesce a penetrare molto facilmente nella struttura informatica dell’Nhs, il Sistema sanitario britannico.
Tutte le operazioni online sono bloccate per diversi giorni. Medici e infermieri sono costretti a tornare a carta e penna, e a usare i propri smartphone per mandare avanti i servizi d’emergenza. A fermare WannaCry, almeno temporaneamente, ci riesce Marcus Hutchins, un hacker inglese classe 1994, diventato nel giro di poche ore il “salvatore del Sistema sanitario inglese” – salvo poi essere arrestato per aver precedentemente creato un malware bancario e averlo venduto online. Il caso WannaCry per l’Nhs e il resto del mondo diventa un caso di scuola. Le autorità londinesi negano di aver pagato il riscatto, anche se molte fonti parlano di una velocità sospetta nel ripristinare le operazioni. In ogni caso, dal 2017 in poi cambia l’intero impianto di sicurezza informatica dei sistemi britannici, e anche i protocolli internazionali. Nel maggio di quest’anno il Servizio sanitario irlandese è andato quasi completamente offline per qualche settimana: le autorità hanno spento i sistemi informatici per “precauzione” dopo aver registrato un “significativo” attacco ransomware.
Per i gruppi criminali aggredire il settore sanitario è molto vantaggioso: è difficile attribuire responsabilità, e spesso i soldi del “riscatto” arrivano perché l’emergenza è insostenibile e pericolosa. Da tempo si discute a livello internazionale di vietare completamente il pagamento dei riscatti dopo un sequestro dei sistemi informatici: i soldi facili non solo aumentano gli attacchi, ma sono anche una ottima forma di finanziamento per i gruppi che possono organizzarsi sempre meglio. Il dipartimento del Tesoro americano ha reso illegale il pagamento dei riscatti cyber nell’ottobre del 2020; l’Unione europea proibisce questo genere di transazioni se il gruppo criminale è riconducibile a paesi sottoposti a sanzioni (per esempio la Corea del nord), ma è sempre più difficile la diretta attribuzione geografica di un gruppo criminale, quindi, di fatto, resta una materia poco regolamentata. Un paese come l’Australia, per esempio, obbliga chi paga il riscatto a dichiarare la cifra e a chi è stata versata.
La compagnia neozelandese Emsisoft, la più famosa di decrittazione di ransomware, nel suo report sugli attacchi subiti dall’America nel 2020 scrive che il settore sanitario, “già stressato dalla pandemia, ha continuato a essere pesantemente preso di mira nel corso dell’anno con almeno 560 strutture colpite in 80 incidenti separati)”. Tra gli attacchi, il più significativo è stato quello alla Universal Health Services, “che gestisce circa 400 ospedali e altre strutture sanitarie. Altri incidenti includono quello al Boston Children’s Hospital, al Crozer-Keystone Health System, alla University of Vermont e al Lake Region Healthcare”. Oltre alla richiesta di riscatto a seguito di un ransomware, in America gli ospedali subiscono spesso attacchi informatici anche per via del valore che hanno i dati sanitari nel mastodontico mercato delle truffe sanitarie e assicurative.
Nel 2020 il 3,4 per cento dei clienti globali di Emsisoft veniva dall’Italia. Pubblicato poco più di un mese fa l’ultimo report di Mandiant, società satellite dell’azienda di cybersicurezza FireEye, dice che l’Italia è il quarto paese, appena dopo Regno Unito, Francia e Germania, per attacchi subiti da ransomware nell’ultimo anno. Di sicuro c’erano i segnali che qualcosa di simile a quello che è avvenuto al sistema informatico della regione Lazio potesse, prima o poi, accadere.
Cose dai nostri schermi