All’inizio di aprile è stato lanciato un allarme sulla diffusione crescente di attacchi informatici facenti leva sul panico generato dal Covid-19.
Ad agevolare il lavoro del cyber crimine sono anche le vulnerabilità delle reti e dei sistemi utilizzati più spesso che mai per il telelavoro. Anche gli ospedali sono chiaramente fra le prime vittime degli attacchi, proprio in un momento in cui i loro carichi di lavoro sono sopra la media.
In particolare, essi sono esposti al fenomeno del ransomware, «la crittografia di file e applicazioni fino al pagamento di un riscatto», che costituiscono «la minaccia principale, oltre ai tentativi di furto di informazioni finanziarie e delle cartelle cliniche dei pazienti».
C’è però dell’altro: «gli attacchi più recenti», ha reso noto NTT, multinazionale dei servizi hi-tech, «includono un malware per il furto di informazioni integrato in una falsa applicazione informativa dell’OMS e mail di phishing che offrivano dispositivi medici come mascherine per il viso, disinfettante per le mani e tamponi per il coronavirus».
Accanto alle strutture ospedaliere e di cura, sono stati presi di mira «l’OMS e un centro di sperimentazione» sulle terapie di contrasto al Covid-19. Alla luce di simili evidenze, NTT ha deciso di mettere a disposizione dell’ospedalità «un supporto gratuito di Incident response per la sicurezza IT», cui ricorrere nell’eventualità di un’intrusione.
L’accesso al servizio è aperto per sessanta giorni, a partire dal 7 aprile, alle aziende sanitarie di Regno Unito, Irlanda, Europa, Australia, Singapore, Nord America.
«A seguito di una valutazione, prevedrà la distribuzione remota degli strumenti di risposta agli incidenti di NTT e si concentrerà quindi sul contenimento e sulla risoluzione» dell’evento», ha riportato la nota.
Intelligenze globali contro il cyber crime
Gli esiti degli studi di NTT trovano posto mensilmente anche nel Monthly Threat Report realizzato dal Global Threat Intelligence Center del gruppo allo scopo di offrire una panoramica sulle tendenze della cybersecurity e approfondirne gli argomenti più caldi.
L’idea è non solo proteggere ma anche «informare ed educare i clienti sulle minacce e le vulnerabilità» e sullo sviluppo di «tecnologie di ricerca, analisi e gestione delle informazioni sulle minacce».
Il GTIC combina le sue indagini con risorse investigative atte a «creare informazioni sulle minacce applicate per prevenire incidenti informatici e anticipare le notifiche di allerta sui rischi e minacce».
Con centri in Europa, negli Stati Uniti e in Giappone, il GTIC «si concentra sull’acquisizione di conoscenze sui vari attori delle minacce, sugli strumenti di sfruttamento e sui malware e sulle tecniche, tattiche e procedure (TTP) utilizzate dagli aggressori».
Questo permette «di scoprire preventivamente le debolezze zero-day che potrebbero diventare l’ultimo vettore di attacco, garantendo al contempo la piena comprensione delle vulnerabilità».
La metodologia fa leva via via su approcci di tipo euristico, big data, elaborazione di eventi complessi e analisi di apprendimento automatico» e un esempio dei suoi risultati è da poco consultabile, sempre gratuitamente, online.
Fra i fenomeni illustrati uno riguarda da vicino il nostro Paese, interessato dal diffondersi di mail il cui subject è Coronavirus: informazioni importanti su precauzioni. Contiene un documento Word che invita all’attivazione del comando Enable content.
Un semplice clic sull’icona corrispondente scatena invece il lancio del malware Trickbot che, oltre a sottrarre informazioni più o meno delicate dal sistema infettato, è in grado di diffondersi all’interno di un network per comprometterne altre.
D’altra parte, se i codici maliziosi intitolati o ispirati alla pandemia (non manca il ransomware CoronaVirus) proliferano, ciò si deve anche al fatto che si stanno moltiplicando i siti Internet informativi, o presunti tali, sulla malattia: è stato calcolato che ne nascano circa 2.000 ogni giorno.
«Come staccare il ventilatore a un paziente»
Di minacce cyber correlate al Covid-19 si è occupata anche l’altra specialista Acronis, che ha sedi in Svizzera e a Singapore e 14 uffici nel mondo grazie ai quali dialoga con una clientela composta da 500 mila utilizzatori business.
L’azienda ha messo in guardia i servizi sanitari pubblici e privati circa il probabile incremento a breve degli attacchi ransomware ai loro danni, calcolando che già nell’ultima settimana di febbraio e nella prima di marzo siano cresciuti del 7 e del 10% rispettivi.
«L’epidemia di Covid-19», ha fatto sapere con un comunicato il fondatore e CEO di Acronis Serguei Beloussov, «implica nuove difficoltà e pericoli per ogni ambiente aziendale, e il cyberspazio non fa eccezione. Nel tentativo di contrastare il rischio di blocco delle attività, alle aziende e ai singoli individui viene chiesto di passare al digitale (…).
Le strutture sanitarie sono tra le più vulnerabili, poiché i sistemi sui quali transitano i dati dei pazienti e delle attività di laboratorio sono spesso collegati. In tutto il mondo molti ospedali e strutture sanitarie sono tenuti in ostaggio dall’inizio dei lockdown. Per un ospedale, ignorare le minacce informatiche è come staccare il ventilatore a un paziente. L’aumento delle minacce informatiche nei confronti di questo specifico obiettivo deve diventare una priorità dei governi, perché mette a rischio i pazienti».
Plausibile, secondo quanto reso noto da Acronis, che ha integrato funzioni specifiche anti-ransomware nella suite Cyber Backup Cloud, è che «molti dei medici che si occupano dei pazienti con Covid-19 diventino bersaglio di attacchi, in parte perché devono accedere con tempestività a dati, applicazioni e sistemi, ma anche perché in alcuni Paesi ricevono consistenti aiuti finanziari, un motivo allettante per i criminali».
Il consiglio è formare il personale sanitario all’identificazione di mail e siti potenzialmente dannosi o truffaldini e adottare meccanismi di autenticazione a due fattori insieme a password univoche, privilegiando nel settore pubblico i siti web statici a quelli dinamici.
Roberto Carminati
