È la prima volta che un ospedale israeliano, l’Hillel Yaffe di Hadera, viene messo knock-out da un cyber attacco.
Dopo la lunga serie di ransomware che hanno colpito a livello globale negli ultimi anni infrastrutture critiche, sedi istituzionali, imprese industriali e commerciali, ultimamente è la volta delle strutture sanitarie, anche nel Paese ebraico.
In passato ospedali e centri medici venivano risparmiati dalle scorribande dei cyber criminali, per ovvie ragioni di etica e di morale, ma ora pare non esserci più freno alla stupidità umana che per bramosia di denaro e voglia di apparire non esita a sferrare i più imprevedibili degli exploit.
Mercoledì, probabilmente già dalle prime ore del mattino, l’ospedale Hillel Yaffe della città di Hadera, a nord di Netanya, è caduto nella rete dei tecnocriminali che hanno messo in difficoltà l’intero sistema informatico della struttura sanitaria impattando in particolare sul sistema di controllo accessi e di registrazione dei pazienti sia in entrata che in uscita, creando di conseguenza il caos.
Secondo alcune indiscrezioni, ai sanitari non è rimasto che usare metodi rudimentali del tipo “carta e penna” pur di provare ad arginare il cyberattacco nella fase iniziale, annotando a mano tutte le informazioni sui pazienti.
L’attacco è stato repentino, senza che nessuno se ne fosse accorto per tempo, e l’incidente è stato prontamente segnalato al ministero della Salute israeliano e al INCD, il National Cyber Directorate. Interessata anche la famosa unità 8200 di Aman, stanziata ad Herzliya, un sobborgo di Jaffa.
Le due istituzioni e l’unità 8200, hanno assunto il controllo della situazione ed hanno provveduto a diramare preventivamente lo stato di allerta – supponendo nuove iniziative dei criminali della rete – agli altri Medical Center del paese.
Nella serata di mercoledì il virus era ancora in azione e alla Direzione dell’ospedale non è rimasto che dirottare tutte le accettazioni dei nuovi pazienti verso altri nosocomi e nelle città vicine (es. Laniado Hospital della città di Netanya).
Fortunatamente, a parte le operazioni su descritte, l‘ospedale ha continuato a funzionare regolarmente, e le apparecchiature specialistiche tra le più critiche, come le TAC e le Risonanze Magnetiche, non sono state compromesse e non hanno subito interruzioni.
Non si sa ancora molto dei dettagli tecnici dell’attacco se non che sarebbe stato condotto presumibilmente con un ransomware, la piaga mondiale dell’ultimo decennio che sta prendendo di mira le infrastrutture critiche, e non solo, in tutti i continenti.
I tecnocriminali usano questa tecnica per bloccare i dispositivi informatici della vittima chiedendo un riscatto per ripristinarla; tipicamente cifrano i dati del sistema colpito rendendoli inutilizzabili, e offrono la disponibilità della chiave di decriptazione solamente a pagamento avvenuto, in genere con moneta virtuale (bitcoin o monero le più utilizzate).
È facilmente prevedibile che nei casi che prendono di mira gli ospedali, gli aggressori si aspettino che, nel timore di garantire a tutti i costi la normale operatività dei processi medici critici e nella paura di divulgare informazioni mediche sensibili sui pazienti, la direzione del nosocomio non potrà che aderire alla richiesta di riscatto.
Il National Cyber Directorate suggerisce di non aderire mai alle richieste di riscatto perché comunque, se vi è stata esfiltrazione di dati durante l’attacco, questi ultimi potrebbero anche non essere restituiti al diretto interessato, ma i criminali potrebbero in ogni caso venderli nel darkweb al miglior offerente come solitamente è accaduto.
Piuttosto occorre investire in formazione e porre in essere tutte le misure adeguate e necessarie per contrastare i cyber attacchi. Inoltre serve verificare ed eventualmente provvedere ad eseguire copie di backup del proprio sistema informatico (Disaster Recovery), così da poter, alla bisogna in caso di attacco, ripristinare con celerità la normale routine sanitaria.
La Israel NCD ha anche riportato che nel 2020 le emergenze in rete sono state quasi il 30% in più rispetto all’anno precedente, questo per dire che vi è un costante aumento degli incidenti procurati dai cyber ciminali.
Con buona probabilità il virus è stato introdotto nella rete dell’ospedale attraverso un RAT, un Trojan ad accesso remoto, che ha colpito un qualsiasi dispositivo informatico e si è silenziosamente autoinstallato eludendo i controlli dell’antivirus senza che l’utente si accorgesse di nulla.
Si vocifera che possano essere chiamati in causa nella vicenda un manipolo di giovani hackers (termine generico che non necessariamente ha una connotazione negativa, ma in questo caso sì) che hanno anche colpito recentemente un ospedale negli Stati Uniti. Ma è ancora presto per fare delle supposizioni.
Ancora non è stata resa notizia di una possibile richiesta di riscatto (che dovrebbe arrivare quasi certamente), né tantomeno la Direzione dell’Ospedale ha confermato della probabile esfiltrazione di dati che metterebbero a rischio la privacy dei pazienti e operatori sanitari del Medical Center.
L’Iran dietro questi cyber attacchi?
In effetti il cyber attacco di mercoledì è abbastanza singolare e a tratti “fumoso” e misterioso, che desta qualche perplessità in coloro che stanno conducendo l’inchiesta.
Alcuni sospettano persino che sia stato un finto attacco ransomware, piuttosto i tecnocriminali hanno posto in atto delle finalità distruttive dei sistemi informatici in cui hanno avuto accesso, compresa la cancellazione dei files.
Questo perché negli ultimi tempi Israele è stata colpita da un’ondata di malware – ma anche di spionaggio – sferrata da hackers riconducibili a vari gruppi ma che hanno una matrice comune: l’Iran.
Giusto la settimana prima, una nota compagnia informatica, Cybereason, aveva fatto trapelare che un manipolo di specialisti cyber operante sin dal 2018, denominato Malkamak e pagati da Teheran, stava conducendo una vasta operazione di spionaggio informatico, in alcuni casi con esfiltrazione di informazioni sensibili, contro entità di rilievo nel panorama delle telecomunicazioni e nell’ambito aerospaziale, tutte realtà operanti in Israele, negli Stati Uniti, in Medio Oriente, in Europa e in Russia.
Mentre lo scorso mese un altro gruppo di tecnocriminali – anch’essi iraniani – chiamato Deus ha compiuto un exploit nei confronti dell’israeliana Voicenter, trafugando un’ampia serie di dati tra cui: carte d’identità, e-mails, registrazioni telefoniche, foto e immagini, video delle telecamere di sorveglianza, ecc. I criminali hanno inoltre reso disponibili nel darkweb 15 TB di dati relativi alla sua vittima, minacciando la callcenter service che avrebbe consegnato ai suoi principali clienti parte dei dati esflitrati se non avesse provveduto a pagare un riscatto di 15 Bitcoin entro 12 ore dalla richiesta (19 settembre), e che avrebbero aggiunto ulteriori 10 Bitcoin ogni 12 ore in caso di ritardo nel pagamento.
In agosto, ancora, ad essere stata violata è la Bar-Ilan University, un’università pubblica di ricerca nella città di Ramat Gan nel distretto di Tel Aviv, che è anche la seconda istituzione accademica più grande d’Israele. Pare che l’attacco sia riconducibile allo stesso gruppo iraniano di hackers – Agrius – che nel 2020 ha attentato alla compagnia di assicurazioni Shirbit. In entrambi i casi i cyber attacchi erana mascherati da ransomware, mentre il loro vero obiettivo era quello di danneggiare e rendere inservibili i sistemi informatici delle vittime cancellando i loro files.
La cyber warfare condotta dall’Iran nei confronti di Israele è di lunga data, ma si prospetta essere sempre più subdola e inaccettabile soprattutto se rivolta ad infrastrutture critiche civili come possono essere gli Ospedali in quanto tutelati dal diritto internazionale.
Dopo questo episodio Israele entrerà a far parte della cooperazione internazionale contro gli attacchi informatici che utilizzano lo strumento dei ransomware diretto verso le infrastrutture critiche civili e di rilevante importanza.
