Netskope Threat Labs ha recentemente pubblicato un report che evidenzia l’aumento degli attacchi informatici nel settore sanitario, segnalando gli infostealer – programmi malevoli per il furto di dati – come i principali strumenti di malware e ransomware utilizzati contro questo settore tra il 1 marzo 2023 e il 27 febbraio 2024. Il settore della sanità si è distinto per essere stato particolarmente vulnerabile, subendo numerose “mega violazioni”, ovvero attacchi in cui sono stati sottratti più di un milione di record. Inoltre, il report mette in luce l’incremento nell’uso di applicazioni cloud da parte del settore sanitario e analizza le tendenze generali del malware che lo hanno colpito nel corso dell’anno.
Di seguito i principali dati emersi:
- La sanità è obiettivo principale degli attacchi infostealer: gli infostealer sono una famiglia di malware significativa per il settore sanitario poiché gli attaccanti tentano di rubare dati preziosi da organizzazioni e pazienti per ricattare le vittime o ottenere un riscatto.
- In particolare, il gruppo ransomware Clop è stato particolarmente attivo nel prendere di mira le organizzazioni sanitarie e di assicurazione sanitaria, sfruttando la vulnerabilità CVE-2023-34362 MOVEit.
- Il settore sanitario è stato tra quelli maggiormente colpiti nel 2023 da mega violazioni, ossia attacchi in cui sono stati rubati oltre un milione di record.
- I download di malware dal cloud sono aumentati nel 2023, ma si sono stabilizzati nel secondo semestre: il malware distribuito da applicazioni cloud ha chiuso l’anno con circa il 40% dei download nel settore sanitario, dopo un picco del 50% registrato a giugno, per poi diminuire leggermente nella seconda metà dell’anno. Il settore sanitario ha avuto un andamento leggermente inferiore rispetto ad altri settori, ma il malware distribuito nel cloud in questo settore è cresciuto considerevolmente di anno in anno, rispetto ad appena il 30% di un anno fa.
- In particolare, il settore sanitario sembra aver registrato la percentuale più bassa di malware proveniente dal cloud negli ultimi 12 mesi, classificandosi al 7° posto con circa il 40% dei download totali di malware, dietro a telecomunicazioni, servizi finanziari, manifatturiero, retail, tecnologia, amministrazione pubblica centrale/ locale/istruzione.
- Le applicazioni cloud sono sempre più utilizzate per la distribuzione del malware in quanto offrono agli attaccanti la possibilità di eludere i regolari controlli di sicurezza basati su blacklist (spesso bypassate per il traffico cloud) e monitoraggio del traffico web, colpendo così le aziende che non applicano i principi Zero Trust per ispezionare regolarmente il traffico cloud.
- In controtendenza il download di malware da Microsoft OneDrive: sebbene Microsoft OneDrive sia rimasta l’applicazione più popolare nel settore sanitario, il suo utilizzo è stato significativamente inferiore rispetto ad altri settori. Di conseguenza, i download di malware da OneDrive sono risultati inferiori di 11 punti percentuali rispetto ad altri settori.
○ La prevalenza generale degli attacchi malware originati da OneDrive riflette la combinazione tra le tattiche degli avversari (abuso di OneDrive per distribuire malware) e il comportamento delle vittime (la loro probabilità di fare clic sui collegamenti e scaricare il malware) insieme alla popolarità diffusa di OneDrive.
- Popolarità di Slack nel settore sanitario: questa applicazione è risultata seconda per upload di dati (dietro OneDrive) e quinta per download, un valore significativamente più alto rispetto ad altri settori. Tuttavia, questa tendenza di utilizzo non è correlata al numero di download di malware dall’applicazione: non figura nemmeno tra le prime 10 fonti.
- Poiché Slack è un’applicazione aziendale solida, gli attaccanti devono utilizzare tattiche e contenuti diversi per colpire gli utenti che devono accettare o condividere inviti verso canali esterni. Questo è un processo più complesso rispetto ad altre applicazioni di messaggistica consumer come Whatsapp che potrebbero essere utilizzate su un dispositivo aziendale. Slack, tuttavia, viene più spesso utilizzata dagli attaccanti come server di comando e controllo, poiché la sua API fornisce un meccanismo flessibile per caricare (o esfiltrare) i dati.
Commentando i risultati emersi, Paolo Passeri, Cyber Intelligence Principal di Netskope ha dichiarato: “Gli infostealer sono tra le principali minacce per il settore sanitario e ciò si riflette nel fatto che nel corso del 2023 molte organizzazioni sanitarie sono state bersaglio di mega violazioni e tra i principali obiettivi della massiccia campagna Clop che sfrutta la vulnerabilità CVE-2023- 34362. Naturalmente questo modus operandi non sorprende considerando le tipologie di dati personali gestite da queste organizzazioni, ma è particolarmente efficace perché gli attaccanti non devono necessariamente crittografare i dati in un attacco in stile ransomware, ma esfiltrano le informazioni rubate e le usano per ricattare la vittima (o i suoi clienti/pazienti). Tra le principali famiglie di malware che hanno interessato il settore sanitario c’è anche la botnet Mirai, che attacca dispositivi IoT. Ovviamente questo ha un significato particolare per il settore sanitario, che utilizza dispositivi IoT medici connessi ad internet, le cui vulnerabilità, se non corrette, potrebbero avere conseguenze molto serie. Malware e infostealer non dovrebbero essere l’unica preoccupazione per il settore sanitario: campagne come quella orchestrata dal gruppo Clop indicano che devono essere considerati anche i rischi provenienti dalla supply chain, applicando alle terze parti la stessa strategia Zero Trust utilizzata internamente all’organizzazione.”
Il report si basa su dati di utilizzo resi anonimi raccolti su un sottoinsieme di clienti del settore sanitario tra gli oltre 2.500 clienti di Netskope, i quali hanno dato autorizzazione preventiva affinché i loro dati vengano analizzati.
Per consultare il report completo, visita:
https://www.netskope.com/resources/threat-labs-reports/threat-labs-report-healthcare-2024