Sembrano essere 18 gli ospedali rumeni offline a seguito di un attacco ransomware che ha colpito il sistema di gestione sanitaria. È l’ennesimo episodio di attacchi ai danni della sanità, che innalza nuovamente l’allarme sulla necessità di un innalzamento del livello di resilienza di queste infrastrutture critiche.

Sull’ultimo caso di cronaca ci sono ancora informazioni frammentate: l’attacco si sarebbe palesato nella notte tra l'11 e il 12 febbraio e l’attività degli attaccanti si è concentrata contro i server di produzione che eseguono il sistema informativo HIS (Hipocrate Information System), che sono stati oggetto di cifratura. Dalla scorsa notte il sistema è inattivo, i file e i database sono crittografati. Queste sono le informazioni ufficiali pubblicate per ora dal Ministero della Salute rumeno, che ovviamente ha denunciato l’accaduto e avviato tutte le indagini del caso.

Purtroppo, il primo effetto collaterale dell’accaduto è un danno importante per i pazienti, dato che il blocco coinvolge, come accennato, 18 nosocomi di diverse città, fra cui la capitale Bucarest, che svolgono anche servizi di emergenza/urgenza.

HIS, per la cronaca, è il software utilizzato per gestire l'attività medica e i dati dei pazienti. Al momento non è dato sapere se siano stati sottratti i dati personali o medici dei pazienti. La casistica però vuole che nella stragrande maggioranza dei casi, gli attacchi ransomware coincidono con un data breach. Non stupisce che sia stato preso di mira questo software: le informazioni sensibili che contiene possono essere rivendute facilmente e a buon prezzo sul dark web. Ma questa sarebbe la fonte di guadagno secondaria.

Quella primaria è ovviamente il riscatto. Al momento non ci sono informazioni a tal riguardo, né tantomeno sul gruppo che ha sferrato l’attacco. Quello che è certo è che uno dei motivi che spinge i cyber criminali ad attaccare gli ospedali è la certezza che non possono permettersi di restare inattivi troppo a lungo, quindi spesso (anche più sovente di quanto dichiarato ufficialmente) pagano i riscatti pur di tornare operativi.

Anche se ormai è tardi, il Ministero della Salute Rumeno informa che "sono state attivate misure precauzionali eccezionali anche per gli altri ospedali non colpiti dall'attacco". Ottimo, ma tardivo.

Le indagini forensi richiederanno tempo, ma permetteranno di appurare qual è stato il punto di ingresso degli attaccanti, da quanto tempo erano infiltrati nei sistemi, su quali sistemi hanno messo effettivamente le mani gli attaccanti e quindi di procedere con la bonifica. Solo a quel punto si potrà procedere con il ripristino, sempre che i backup fossero immutabili, perché i gruppi ransomware generalmente cercano di metterli fuori uso per avvantaggiarsi nella contrattazione per il riscatto.

Una volta che il picco emergenziale (informatico ovviamente) sarà superato, sarà bene non fermarsi al ripristino, ma procedere con una accurata attività di valutazione del rischio e quindi con la messa in sicurezza di tutte le infrastrutture sanitarie.

Il commento di Bitdefender

La recente ondata di attacchi informatici contro gli ospedali rumeni e i terribili effetti sul sistema sanitario nazionale dimostrano ancora una volta l'importanza di solide pratiche di sicurezza informatica. Poiché l'indagine è in corso, i dettagli che possono essere condivisi pubblicamente sono molto pochi. È importante però sottolineare che il sistema sanitario è assimilabile a un'infrastruttura critica e che gli attacchi che lo prendono di mira possono avere conseguenze disastrose sulle vite dei cittadini. Se in passato il sistema sanitario era tutelato dal "codice etico" dei criminali informatici questo attacco dimostra che il business del ransomware è spietato e che la concorrenza tra i criminali informatici è più feroce che mai.

Per questo motivo la prevenzione gioca un ruolo fondamentale nel garantire la continuità operativa nel settore sanitario. Bitdefender ha sempre offerto la sua esperienza nelle indagini, sia alle vittime che alle forze dell'ordine. Ora stiamo ampliando tale aiuto alle competenze tecniche gratuite (MDR Foundations) e ai prodotti di punta per la sicurezza informatica (Bitdefender GravityZone) offrendolo a tutte le strutture sanitarie pubbliche in Romania.