Netskope Threat Labs ha pubblicato il suo ultimo report sulle minacce informatiche, dal quale emerge che gli infostealer sono stati la principale tipologia di malware ai danni del settore sanitario nel periodo tra il 1° marzo 2023 e il 27 febbraio 2024. La sanità è risultata tra i settori maggiormente colpiti nel 2023 da mega violazioni (sottratti oltre un milione di record); lo studio ha esaminato anche il continuo aumento dell’adozione di applicazioni cloud nel settore sanitario, nonché le tendenze del malware nel settore.
I principali dati emersi
Attraverso gli infostealer vengono poi ricattate le vittime o richiesti riscatti.
Il gruppo ransomware Clop è stato particolarmente attivo contro le organizzazioni sanitarie e di assicurazione sanitaria, sfruttando la vulnerabilità CVE-2023-34362 MOVEit.
I download di malware dal cloud sono aumentati nel 2023, ma si sono stabilizzati nel secondo semestre. Il malware distribuito da applicazioni cloud ha chiuso l’anno con circa il 40% dei download nel settore sanitario, dopo il picco del 50% di giugno, per poi diminuire leggermente nella seconda metà dell’anno. Il settore sanitario ha avuto un andamento leggermente inferiore rispetto ad altri settori, ma qui il malware distribuito nel cloud è cresciuto considerevolmente di anno in anno.
In particolare, il settore sanitario sembra aver registrato la percentuale più bassa di malware proveniente dal cloud negli ultimi dodici mesi, posizionandosi al settimo posto con circa il 40% dei download totali di malware, dietro ai settori telecomunicazioni, servizi finanziari, manifatturiero, retail, tecnologia, amministrazione pubblica centrale/locale/istruzione.
Le applicazioni cloud sono sempre più usate per la distribuzione del malware, poiché permettono di eludere i regolari controlli di sicurezza basati su blacklist (spesso bypassate per il traffico cloud) e monitoraggio del traffico web, colpendo così le aziende che non applicano i principi Zero Trust per ispezionare regolarmente il traffico cloud.
In controtendenza il download di malware da Microsoft OneDrive: sebbene Microsoft OneDrive sia rimasta l’applicazione più popolare nel settore sanitario, il suo utilizzo è stato significativamente inferiore rispetto ad altri settori. Di conseguenza, i download di malware da OneDrive sono risultati inferiori dell’11% rispetto ad altri settori.
La prevalenza generale degli attacchi malware originati da OneDrive riflette la combinazione tra le tattiche degli avversari (abuso di OneDrive per distribuire malware) e il comportamento delle vittime (la loro probabilità di fare clic sui collegamenti e scaricare il malware) insieme alla popolarità diffusa di OneDrive.
L’applicazione Slack è risultata seconda (dopo OneDrive) per upload di dati e quinta per download, un valore significativamente più alto rispetto ad altri settori. Questa tendenza di utilizzo non è però correlata al numero di download di malware dall’applicazione: non figura nemmeno tra le prime dieci fonti.
Poiché Slack è un’applicazione aziendale solida, gli attaccanti devono ricorrere a tattiche e contenuti diversi per colpire gli utenti che devono accettare o condividere inviti verso canali esterni. Si tratta di è un processo più complesso rispetto ad altre applicazioni di messaggistica consumer come Whatsapp, che potrebbero essere usate su un dispositivo aziendale. Slack, tuttavia, viene più spesso utilizzata dagli attaccanti come server di comando e controllo, poiché la sua API fornisce un meccanismo flessibile per caricare (o esfiltrare) i dati.
Paolo Passeri, Cyber Intelligence Principal di Netskope ha così commentato i dati emersi dal report: “nel 2023 molte organizzazioni sanitarie sono state bersaglio di mega violazioni e tra i principali obiettivi della massiccia campagna Clop che sfrutta la vulnerabilità CVE-2023- 34362.
Tra le principali famiglie di malware c’è anche la botnet Mirai, che attacca dispositivi IoT. Ciò ha un significato particolare per il settore sanitario, che usa dispositivi IoT medici connessi a internet le cui vulnerabilità, se non corrette, possono portare conseguenze molto serie.
Malware e infostealer non dovrebbero essere l’unica preoccupazione per il settore sanitario: campagne come quella orchestrata dal gruppo Clop indicano che devono essere considerati anche i rischi provenienti dalla supply chain, applicando a terze parti la stessa strategia Zero Trust usata internamente all’organizzazione”.
Il report si basa su dati di utilizzo resi anonimi raccolti su un sottoinsieme di clienti del settore sanitario tra gli oltre 2.500 clienti di Netskope, i quali hanno dato autorizzazione preventiva affinché i loro dati vengano analizzati.