Un ransomware colpisce alcune cliniche della zona di Baltimora, il riscatto è promozionale

Ransomware e cliniche mediche, una storia che si ripete: dopo la vicenda dell'Hollywood Presbyterian Medical Center, che nel mese di febbraio si è trovato costretto a pagare un riscatto di 40 Bitcoin (17 mila dollari circa) per poter liberare i propri sistemi informativi presi in ostaggio da un ransomware, tocca questa volta alla società MedStar Health che ha dovuto mettere offline i sistemi di alcuni ospedali di Baltimora.

Un portavoce di MedStar ha dichiarato: "I sistemi IT di MedStar Health sono stati colpiti da un virus che impedisce ad alcuni utenti di collegarsi ai nostri sistemi. MedStar ha agito velocemente con una decisione di mettere offline tutti i sistemi di interfaccia per evitare che il virus si diffonda all'interno dell'organizzazione. Stiamo lavorando con i nostri partner IT e di Cyber-security per valutare e gestire la situazione".

Secondo le informazioni disponibili circa 30 mila impiegati e addetti e oltre 3 mila medici affiliati non hanno potuto accedere ai database dei pazienti, controllare la posta elettronica o ricercare contatti telefonici. I pazienti, a loro volta, non hanno potuto prenotare appuntamenti per prestazioni diagnostiche.

Il caso è stato studiato dai ricercatori di sicurezza del Cisco Talos Research, che hanno individuato una nuova categoria di crypto-ransomware progettati appositamente per attaccare server vulnerabili, questi ultimi incidentalmente diffusi nel settore sanitario. Ed è proprio questa la differenza sostanziale con la vicenda dell'Hollywood Presbyterian Medical Center, dove l'infezione si propagò tramite un normale attacco phishing via email.

In particolare si tratta di web server che operano JBoss, che possono essere attaccati dal malware battezzato "Samsam" che sfrutta una vulnerabilità presente in uno degli strumenti opensource per JBoss. Una volta che il malware riesce a trovare posto sul server, si diffonde su tutte le macchine Windows collegate alla stessa rete. I ricercatori credono che questo tipo di approccio potrebbe essere esteso anche verso altre risorse server, come WordPress o altri sistemi di gestione dei contenuti, in una naturale evoluzione della minaccia ransomware.

Quanto accaduto è tuttavia un sintomo di quel che avviene in tutte quelle realtà in cui l'IT non rappresenta il core business dell'attività. La realtà dei fatti è che quasi ogni società, volente o nolente, sta trasformandosi in una realtà IT ed ogni settore assiste ad un sempre più massiccio impiego di tecnologie per la gestione dell'informazione. Molte di esse, però, non sono pronte per poter affrontare le sfide che si trovano dinnanzi. Quello che accade è che molte società adottano un approccio "lancia e dimentica", configurando i sistemi informativi al momento dell'allestimento e lasciandoli non gestiti. Il problema è ovviamente più incisivo nel settore sanitario, dal momento che un malfunzionamento in un ospedale può fare la differenza tra la vita e la morte.

Nel frattempo i criminali alle spalle dell'attacco malware hanno richiesto a MedStar Health un riscatto con una formula "promozionale": 3 Bitcoin (1250 dollari) per la chiave di un singolo computer oppure 45 Bitcoin (18500 dollari circa) per la chiave di sblocco di tutti i sistemi infettati.