Supportiamo i browser, non i dinosauri. Aggiorna il tuo browser per visualizzare correttamente il contenuto di questa pagina Web.

Non sai qual è la soluzione più adatta per la tua azienda?

L'attacco ransomware contro l'NHS

Gli attacchi ransomware hanno cominciato a fare notizia sui giornali nel 2017, quando importanti organizzazioni di tutto il mondo sono state colpite da WannaCry in uno dei più grandi attacchi informatici a livello internazionale registrati fino a oggi. Una delle vittime di più alto profilo è stato l'NHS (National Health Service), il servizio sanitario nazionale del Regno Unito. In questo articolo vedremo come ha avuto luogo l'attacco ransomware contro l'NHS, quali sono state le sue conseguenze e quali lezioni possono apprendere le aziende per ridurre i rischi di un attacco ransomware.

Quando si è verificato l'attacco contro l'NHS?

Il 12 maggio 2017 il servizio sanitario del Regno Unito è stato colpito da un ransomware denominato WannaCry. Si è trattato di un grave attacco che ha impedito agli ospedali di svolgere le loro attività, perché ha compromesso il funzionamento di sistemi di importanza critica. È stato necessario annullare migliaia di interventi chirurgici. Inoltre, per il personale risultava impossibile accedere alle cartelle cliniche dei pazienti o perfino usare i sistemi telefonici.

NHS England ha stimato che circa un terzo dei 236 trust NHS in Inghilterra ha subito le conseguenze dell'attacco, creando problemi sanitari e di privacy per il personale e i pazienti, che sono rimasti vittime della violazione dei dati risultante.

Che cos'è WannaCry?

A maggio 2017 WannaCry è diventato la forma più nota di ransomware al mondo, colpendo circa 230.000 computer a livello mondiale in un solo giorno. L'attacco WannaCry è stato bloccato rapidamente, ma le varianti del worm WannaCry originale restano ancora attive.

Essendo un worm, WannaCry è particolarmente difficile da bloccare, perché può infettare i dispositivi e spostarsi tra le reti automaticamente, mettendo a rischio un numero elevato di dispositivi a partire da una singola infezione. WannaCry è solo una delle varie forme di ransomware. Altre includono Sodinokibi e Ryuk.

Che cos'è Eternalblue?

L'exploit utilizzato per sfruttare la vulnerabilità del sistema operativo Windows noto come Eternalblue non è stato creato da un gruppo di hacker. È stato invece sviluppato dalla National Security Agency (NSA) degli Stati Uniti. Purtroppo, Eternalblue è stato rubato da un gruppo di hacker denominato The Shadow Brokers e quindi utilizzato per creare WannaCry. Microsoft ha creato velocemente una patch, ma qualsiasi PC Windows non ancora aggiornato con la nuova patch resta vulnerabile.

Eternalblue sfrutta SMBv1, un vecchio protocollo di comunicazione di rete Microsoft. Semplicemente inviando un pacchetto dannoso al server di destinazione, il malware può diffondersi rapidamente in tutta la rete, creando una significativa minaccia per la sicurezza.

Tra gli altri tipi di ransomware che adottano un approccio simile troviamo Petya (anch'esso basato su Eternalblue), Cerber e Locky.

L'attacco contro l'NHS: che cosa è successo?

Gli attacchi WannaCry non erano mirati a organizzazioni specifiche. Cercavano invece ogni opportunità possibile per infettare le reti con vulnerabilità di sicurezza note.

Anche se WannaCry non ha preso direttamente di mira l'NHS, i sistemi obsoleti e il livello di sicurezza inadeguato hanno facilitato l'attacco. Gli ospedali del Regno Unito disponevano di molti computer con versioni di Windows 7 prive di patch, quindi ampie sezioni della rete erano vulnerabili nel momento in cui questo virus ransomware si stava diffondendo rapidamente in tutto il mondo.

Oltre a infettare le reti locali dei trust, il malware WannaCry è stato in grado di diffondersi nella rete N3, che connette ogni sito NHS. Tuttavia, l'attacco non è stato in grado di diffondersi tramite il sistema email dell'NHS, impedendo che altri dati venissero presi in ostaggio o utilizzati a scopo di phishing.

In che modo l'NHS ha risposto all'attacco?

Ha pagato il riscatto richiesto da WannaCry?

NHS England e la National Crime Agency hanno comunicato che le organizzazioni dell'NHS non hanno pagato riscatti. Anche se il Dipartimento della salute britannico non è in grado di determinare il costo causato per l'NHS dall'interruzione dei servizi, secondo alcune stime questa cifra si aggira sui 92 milioni di sterline (circa 105 milioni di dollari statunitensi).

L'attacco informatico è stato bloccato dal ricercatore di sicurezza informatica Marcus Hutchins, che ha identificato un dominio non registrato che il ransomware era programmato per verificare automaticamente. Registrando il dominio, è riuscito a creare un "kill switch". Il National Cyber Security Centre del Regno Unito ha impiegato i giorni seguenti a contrastare i tentativi di rendere inattivo il dominio, fino a quando non è stato identificato un metodo di decriptaggio.

Quali sono state le conseguenze dell'attacco ransomware ai danni dell'NHS?

Almeno 80 dei 236 trust NHS nel Regno Unito sono stati interessati dal virus, oltre a 603 organizzazioni NHS di assistenza sanitaria primaria e di altro tipo e 595 ambulatori medici.

L'attacco informatico è stato bloccato dal ricercatore di sicurezza informatica Marcus Hutchins, che ha identificato un dominio non registrato che il ransomware era programmato per verificare automaticamente. Registrando il dominio, è riuscito a creare un "kill switch". Il National Cyber Security Centre del Regno Unito ha impiegato i giorni seguenti a contrastare i tentativi di rendere inattivo il dominio, fino a quando non è stato identificato un metodo di decriptaggio.

Altri esempi di attacchi ransomware contro importanti ospedali

L'attacco ransomware ai danni dell'NHS non è l'unico incidente di alto profilo che ha interessato le strutture sanitarie. A luglio 2019 lo Springhill Medical Center in Alabama è stato colpito da un attacco ransomware, che ha reso non disponibile la rete, comportando un blocco dei sistemi di monitoraggio nel reparto di ostetricia. Una delle madri, Teiranni Kidd, ha fatto causa all'ospedale dopo aver dato alla luce un bambino che ha riportato danni cerebrali, deceduto in seguito, dal momento che l'attacco non avrebbe consentito un adeguato monitoraggio della loro salute. Questa è diventata la prima presunta morte causata dal ransomware.

Un altro attacco ransomware che ha provocato gravi danni negli ultimi anni ha avuto luogo a settembre 2020 ai danni di United Health Services. La rete IT della struttura sanitaria è stata resa non disponibile per giorni dal ransomware Ryuk, determinando l'annullamento degli appuntamenti, lo spostamento dei pazienti in altre strutture e la necessità di ricorrere a cartelle cliniche cartacee. Il ripristino della rete ha richiesto quasi un mese e il costo stimato è stato di 67 milioni di dollari.

Purtroppo, gli attacchi ransomware contro gli ospedali stanno diventando sempre più comuni. Un report rivela che 45 milioni di persone sono state interessate da attacchi ai danni di strutture sanitarie nel 2021, con un netto incremento rispetto ai 34 milioni nel 2020. Un altro sondaggio ha evidenziato che l'81% delle organizzazioni sanitarie nel Regno Unito ha subito attacchi ransomware nel 2021.

Quali lezioni possono apprendere i proprietari delle aziende?

Il Dipartimento della salute era stato avvisato dei rischi degli attacchi informatici contro l'NHS un anno prima dell'attacco WannaCry e, sebbene stesse prendendo provvedimenti, lo ha fatto troppo tardi. All'epoca il Dipartimento è stato anche criticato per aver consentito l'utilizzo di sistemi Windows obsoleti come Windows XP, per il quale Microsoft ha interrotto il supporto nel 2014.

La lezione principale da imparare da questo attacco di alto profilo è che è necessario dare la massima priorità alle procedure consigliate in materia di sicurezza informatica e implementare la gestione delle patch. Sebbene possano risultare impegnative in un ambiente complesso, queste attività sono essenziali per evitare le vulnerabilità che possono essere sfruttate dagli hacker per accedere alle reti e ai server aziendali.

In aggiunta, è opportuno seguire le procedure consigliate per la sicurezza informatica, quali:

  • La creazione di un piano di ripristino di emergenza IT
  • L'implementazione di strumenti di protezione dal ransomware
  • La formazione del personale per evitare attacchi di phishing/social engineering
  • La creazione di backup protetti dei dati per poter recuperare, in caso di necessità, i documenti sensibili

La combinazione di questi elementi consente di limitare il rischio di essere colpiti da un attacco, aiutando a ridurre al minimo i tempi di ripristino e di inattività. Per le aziende colpite da un attacco, è importante tenere presente che molte istituzioni e organizzazioni di sicurezza hanno creato strumenti di decriptaggio per aiutare a ripristinare i dati sottratti da alcuni tipi di ransomware noti.

Per altre informazioni su importanti attacchi ransomware, leggi i nostri case study relativi agli attacchi ai danni delle città di Atlanta e Baltimora.

Lascia che sia Avast a proteggere la tua azienda dagli attacchi ransomware

I backup e un'implementazione efficace della sicurezza sono essenziali per proteggere la tua azienda dagli attacchi ransomware. Le soluzioni Avast per la sicurezza IT delle piccole aziende ti consentono di scegliere il livello di protezione che meglio si adatta alle dimensioni e ai requisiti della tua azienda, aiutandoti a proteggere i tuoi dispositivi dal ransomware e da altri tipi di attacchi informatici.

Chiudi

Ancora qualche istante...

Completa l'installazione facendo clic sul file scaricato, quindi segui le istruzioni.

Avvio del download in corso...
Nota: se il download non viene avviato automaticamente, fai clic qui.
Fai clic su questo file per avviare l'installazione del prodotto Avast.