La gang ransomware Lockbit colpisce un ospedale pediatrico, poi si scusa. Quale è la lezione?

La gang ransomware Lockbit, una delle più attive nel panorama delle minacce, ha colpito l'ospedale pediatrico Canadese Hospital for Sick Children (SickKids) per poi scusarsi nei giorni successivi e rilasciare gratuitamente un decryptor per consentire alla vittima di recuperare i propri dati.

La notizia dell’attacco ha fatto il giro del mondo, a farne le spese un’infrastruttura critica come un ospedale e peggio ancora, un ospedale pediatrico.

Sebbene il gruppo Lockbit sia noto per non colpire gli ospedali, negli scorsi mesi altre strutture sono state colpite da hacker che rivendicano l’appartenenza alla gang. La politica adottata da Lockbit vieta di cifrare i sistemi delle organizzazioni in cui il danno potrebbe causare la morte di individui, e gli ospedali ovviamente sono tra gli obiettivi non ammessi. Come è possibile allora che sia stato attaccato un ospedale pediatrico?

La causa è nell’implementazione di un modello di affiliazione, noto anche come Ransomware-as-a-Service, in cui gruppi di criminali possono utilizzare nei propri attacchi il ransomware Lockbit a patto di dividere con la gang una percentuale dei proventi dell’attacco. Evidentemente questo modello ha dei rischi tutt’altro che trascurabili, ovvero che un gruppo affiliato possa di sua iniziativa colpire un’infrastruttura critica con conseguenze imprevedibili, sebbene esplicitamente proibito dalla gang ransomware che fornisce loro il codice malevolo.

La gang Lockbit ha spiegato che uno dei suoi partner ha attaccato SickKids violando le sue regole, per questo è stato bandito dal programma di affiliazione.

Il gruppo si è scusato formalmente con un messaggio pubblicato sul suo Leak site presente nella rete Tor. "Ci scusiamo formalmente per l'attacco a sikkids.ca e forniamo gratuitamente il decryptor, il partner che ha attaccato questo ospedale ha violato le nostre regole, è bloccato e non è più nel nostro programma di affiliazione",  si legge nel comunicato pubblicato da Lockbit sul suo sito ospitato nella rete Tor.

L'attacco contro il Toronto Hospital for Sick Children è avvenuto il 18 dicembre 2022. L'ospedale è il più grande centro sanitario pediatrico canadese. L'attacco ha causato problemi a diversi sistemi di rete dell'ospedale, ma fortunatamente - secondo l'organizzazione sanitaria - non ha avuto alcun impatto sulla cura dei piccoli pazienti. 

“L'Hospital for Sick Children (SickKids) sta attualmente rispondendo a un incidente di sicurezza informatica che interessa diversi sistemi di rete e ha definito un Code Grey – guasto del sistema. Il codice è entrato in vigore alle 21:30 di domenica 18 dicembre ed è in corso. si legge nell'avviso di incidente pubblicato dall'Ospedale.

“La sicurezza e il benessere dei nostri pazienti e delle loro famiglie è la nostra massima priorità. Tutti i processi per le cure dei pazienti continuano ad operare ed al momento non ci sono prove che le informazioni personali o le sanitarie dei pazienti siano state compromesse.”

Purtroppo, l'ospedale ha impiegato diversi giorni per contenere l'attacco ransomware, in un aggiornamento fornito il 29 dicembre, la struttura informava di essere riuscita a ripristinare circa il 50% dei sistemi ritenuti “prioritari,” ovvero quei servizi ed applicazioni la cui interruzione ha portato ritardi nella formulazione di diagnosi e nell’erogazione delle terapie. 

Purtroppo, il processo di ripristino dell’infrastruttura dovrebbe richiedere diverse settimane, secondo quanto anticipato in un comunicato pubblicato il 23 dicembre.

L’attacco all’ospedale pediatrico non è un evento isolato, affiliati alla banda Lockbit hanno già colpito in passato organizzazioni sanitarie. Ai primi di dicembre il Centro Ospedaliero di Versailles è stato colpito da un attacco informatico attribuito al gruppo. Nell’occasione la struttura fu costretta ad annullare gli interventi chirurgici ed a trasferire alcuni pazienti a causa dell'attacco. Ad agosto, la stessa banda ha attaccato il Centre Hospitalier Sud Francilien (CHSF), un ospedale a sud-est di Parigi. L'attacco ha interrotto i servizi di emergenza e le prestazioni ambulatoriali ed ha costretto l'ospedale a trasferire i pazienti ad altre strutture. 

Questi eventi dimostrano quanto le infrastrutture sanitarie siano vulnerabili ad attacchi informatici, che sempre più spesso colpiscono aziende del settore sanitario. I ricercatori di Jama Network hanno di recente pubblicato un rapporto che ha analizzato le tendenze degli attacchi ransomware a ospedali, cliniche e organizzazioni sanitarie statunitensi tra il 2016 e il 2021.

Dal 2016 al 2021, il numero annuo di attacchi ransomware è passato da 43 a 91. Durante il periodo di analisi, i ricercatori hanno documentato 374 attacchi ransomware ai sistemi sanitari che hanno esposto le informazioni sanitarie personali (PHI) di circa 42 milioni di individui.

Un volume impressionante di informazioni che espongono questi individui a futuri attacchi.