Ransomware Conti, quando la prevenzione informatica protegge (letteralmente) i tuoi dati
Era maggio dello scorso anno quando il sistema sanitario irlandese veniva attaccato dal ransomware più noto e temuto nel panorama delle cyberminacce: Conti.
È il ransomware “human-operated” che da più di un anno si introduce nelle reti aziendali. Dopo aver sottratto dati sensibili ed averli criptati, gli autori minacciano le loro vittime di renderli visibili sul sito “Conti News” qualora non venga pagato il riscatto richiesto. Più o meno questo è quello che è successo a maggio del 2021 al sistema sanitario di uno dei più avanzati paesi europei. Per precauzione l’ente aveva arrestato tutti i suoi sistemi informatici “al fine di proteggerli e di permetterci di valutare pienamente la situazione con i partner della sicurezza”. Scrivevano così in una nota stampa. Era un’operazione criminale vera e propria orchestrata a livello internazionale, un attacco molto sofisticato che ha colpito tutti i sistemi locali e nazionali.
Così, qualche giorno fa, il Dipartimento della salute e dei servizi umani degli Stati Uniti ha pubblicato una nota che dipinge un quadro a tinte fosche dell’accaduto. Il sistema sanitario è stato letteralmente sopraffatto. Chiaramente, le conseguenze sono state devastanti per il sistema sanitario e specialmente per i cittadini, a maggior ragione con una pandemia da Covid-19 di mezzo. Ciò ha portato, infatti, a gravi interruzioni dei servizi sanitari in tutta l’Irlanda oltre ad aver rubato le informazioni di migliaia di irlandesi, comprese le informazioni sanitarie protette.
Il rapporto sull’incidente, commissionato dal Consiglio dell’HSE irlandese nel giugno 2021, rivela che l’impatto di questo attacco sull’ambiente IT è stato causato principalmente dalla mancanza di prevenzione.
Da quanto emerge dalle analisi dell’accaduto, l’HSE non aveva un responsabile della cybersecurity, “non c’erano responsabili o manager per la sicurezza informatica al momento dell’incidente. Non esisteva un comitato dedicato che fornisse direzione e supervisione delle attività necessarie per ridurre l’esposizione al rischio informatico.”
E non è finita qui. “L’HSE non disponeva di una funzione di sicurezza informatica centralizzata che gestisse i rischi e i controlli della sicurezza informatica”.
Per finire, non sono state implementate soluzioni di monitoraggio della sicurezza per aiutare a indagare e rispondere alle minacce alla sicurezza rilevate nell’ambiente IT.
I banditi digitali hanno fornito al sistema sanitario irlandese un decryptor gratuito per ripristinare i sistemi. Magra consolazione. Tuttavia, hanno tenuto a far sapere che avrebbero venduto o pubblicato i dati rubati se l’HSE non avesse pagato un riscatto di ben 20 milioni di dollari. “Stiamo fornendo lo strumento di decrittazione per la tua rete gratuitamente. – hanno scritto freddamente in chat -Ma dovresti capire che venderemo o pubblicheremo molti dati privati se non proverai a risolvere la situazione”. Insomma, uomo avvisato mezzo salvato. Ecco come ha operato la banda di criminali 2.0.
Ma il governo non si è piegato al ricatto e sebbene l’incidente abbia portato a un’interruzione diffusa nei servizi sanitari irlandesi, Taoiseach Micheál Martin, il primo ministro irlandese, ha affermato che l’HSE non avrebbe pagato alcun riscatto. Così i file rubati sono stati caricati su “VirusTotal”. Un tribunale irlandese ha successivamente ordinato a VirusTotal di fornire qualsiasi informazione sugli abbonati che hanno scaricato o caricato i dati riservati (inclusi indirizzi e-mail, numeri di telefono, indirizzi IP o indirizzi fisici) rubati dalla rete sanitaria nazionale irlandese.
Questa storia lascia con l’amaro in bocca perché i file rubati sono stati scaricati 23 volte dagli abbonati a VirusTotal prima che il servizio lo rimuovesse il 25 maggio 2021. Il morale della favola è che sarebbe bastato davvero poco per mettere al sicuro migliaia di cittadini: un sistema di prevenzione efficace e delle figure professionali adeguate.
