Il 2024 non è stato un anno facile per i difensori informatici nel settore sanitario. Poiché il settore è diventato il bersaglio principale degli attacchi ransomware, spesso si è verificata una violazione dei dati che ha esposto le PII di milioni di pazienti a migliaia di potenziali attori delle minacce nei forum del deep e dark web. Questo articolo tratterà le quattro principali violazioni dei dati nel settore sanitario nel 2024 e rivelerà il loro possibile impatto sul panorama delle minacce alle applicazioni nel 2025.
1. Cambia l’attacco ransomware sanitario: dal credential stuffing alla violazione dei dati
- Data e vettori dell’attacco:
- Il 21 febbraio 2024, Change Healthcare, una sussidiaria di UnitedHealth Group, è stata presa di mira dal gruppo ransomware ALPHV/BlackCat. Gli aggressori hanno ottenuto l’accesso iniziale utilizzando credenziali rubate per un servizio di accesso remoto Citrix privo di autenticazione a più fattori.
- Flusso di attacco:
- Gli aggressori hanno ottenuto credenziali valide per un portale di accesso remoto Citrix senza autenticazione a più fattori.
- Hanno avuto accesso alla rete e si sono spostati lateralmente per identificare i sistemi critici.
- Sono stati sottratti dati sensibili, tra cui nomi utente, indirizzi e-mail e password.
- È stato distribuito un ransomware che ha crittografato i sistemi essenziali e interrotto le operazioni.
- Conseguenze:
- Dati compromessi: informazioni personali di oltre 100 milioni di persone, tra cui nomi utente, indirizzi e-mail e password.
- Impatto finanziario: UnitedHealth Group ha pagato un riscatto di 22 milioni di dollari per recuperare i dati.
2. Attacco ransomware Synnovis e fallimenti nelle trattative di riscatto che hanno portato alla messa online di 300 milioni di cartelle cliniche di pazienti.
- Data e vettori dell’attacco:
- Il 3 giugno 2024, il gruppo ransomware Qilin, legato alla Russia, ha preso di mira Synnovis, un fornitore di servizi di patologia con sede a Londra affiliato al Servizio Sanitario Nazionale (NHS) del Regno Unito.
- Flusso di attacco:
- Qilin ha ottenuto l’accesso non autorizzato alla rete di Synnovis, sebbene il metodo specifico utilizzato per l’accesso iniziale non sia stato rivelato.
- Gli aggressori si sono mossi lateralmente all’interno della rete per identificare ed esfiltrare dati sensibili, tra cui le cartelle cliniche dei pazienti.
- È stato diffuso un ransomware che ha crittografato i sistemi critici e interrotto i servizi di patologia.
- Dopo il fallimento delle trattative per il riscatto, Qilin ha fatto trapelare online circa 300 milioni di cartelle cliniche dei pazienti
- Conseguenze:
- Dati compromessi: circa 300 milioni di cartelle cliniche di pazienti, tra cui informazioni mediche sensibili.
- Impatto operativo: oltre 1.100 interventi chirurgici e 2.194 appuntamenti sono stati annullati in diversi ospedali del Regno Unito. Le ambulanze sono state dirottate e ci sono stati appelli urgenti per donazioni di sangue di tipo O a causa delle interruzioni dei test.
- Esposizione dei dati:
- Dopo infruttuose trattative per il riscatto, i dati esfiltrati vennero pubblicati sul dark web di Qilin.
3. Violazione dei dati MediSecure
- Data e vettori dell’attacco:
- Ad aprile 2024, MediSecure, un’azienda australiana che facilita le prescrizioni elettroniche, ha subito un significativo attacco informatico. Il vettore di attacco specifico non è stato dettagliato nelle fonti disponibili.
- Flusso di attacco:
- Gli aggressori si sono infiltrati nei sistemi di MediSecure, portando all’esfiltrazione di circa 6,5 terabyte di dati.
- I dati compromessi includevano identificativi sanitari e dettagli sui farmaci prescritti.
- A causa della complessità e del volume dei dati, MediSecure non è stata in grado di identificare le persone interessate.
- Conseguenze:
- Dati compromessi: circa 12,9 milioni di australiani sono stati colpiti e sono stati divulgati dati quali identificativi sanitari e dettagli sulle prescrizioni.
- Impatto operativo: MediSecure è entrata in amministrazione volontaria nel giugno 2024, adducendo difficoltà finanziarie aggravate dalla violazione.
- Esposizione dei dati:
- Secondo quanto riferito, un campione dei dati rubati è stato pubblicato sul dark web; tuttavia, non vi è alcuna indicazione che l’intero set di dati sia stato reso pubblico.
Impatto sul panorama delle minacce alle applicazioni sanitarie nel 2025
Secondo l’ultima ricerca di Google, oltre l’84% degli adulti statunitensi tende a riutilizzare le stesse password su più di 12 piattaforme diverse. Questa abitudine aumenta, rendendo gli utenti più anziani più propensi a riciclare le proprie password. Il settore sanitario coinvolge naturalmente più cittadini anziani rispetto a qualsiasi altro settore.
Questi fattori contribuiscono al successo degli attacchi di credential-stuffing sulle applicazioni delle organizzazioni mediche e gli autori delle minacce sono ben consapevoli di questa vulnerabilità. Coloro che eseguono attacchi di credential-stuffing sono spesso opportunisti; quando viene pubblicato un nuovo database di informazioni sui pazienti, colgono l’opportunità per provare ad accedere agli account dei pazienti in altre organizzazioni sanitarie. Lo fanno utilizzando le stesse password trapelate o sfruttando altre informazioni di identificazione personale (PII) che sono state compromesse e spesso utilizzate nelle password.
In altre parole, poiché il credential stuffing tende a concentrarsi su due tipi di utenti, l’assistenza sanitaria coinvolge naturalmente:
- Utenti che riciclano le password tra diverse applicazioni
- L’utente utilizza le informazioni personali identificabili (PII) per creare password (ad esempio nome del coniuge, compleanno della famiglia, numeri di identificazione)
Alcune delle violazioni dei dati di cui sopra sono trapelate e pubblicate nei forum del deep web con una base di utenti. I potenziali attori della minaccia stanno sfruttando le PII delle violazioni dei dati del 2024 per indovinare nuove combinazioni di password o per decifrare nuovi account delle vittime.
Ogni violazione dei dati di un’organizzazione sanitaria aumenta il rischio che tutte le altre organizzazioni del settore subiscano attacchi sempre più frequenti di furto di credenziali sugli account dei loro pazienti.
Riepilogo
Le violazioni dei dati sanitari del 2024 hanno preparato il terreno per un’ondata di attacchi di credential stuffing contro le applicazioni sanitarie nel 2025. L’esposizione delle informazioni sensibili di milioni di pazienti e le vulnerabilità intrinseche del settore hanno creato un terreno fertile per gli attori delle minacce opportunistiche che cercano di sfruttare password riciclate e credenziali basate su PII. Mentre andiamo avanti, le organizzazioni sanitarie devono rimanere vigili, implementando solide misure di sicurezza e istruendo gli utenti sull’importanza di password univoche e complesse per proteggersi dalla minaccia incombente di attacchi di credential stuffing nel panorama post-violazione.
