L’attacco ransomware alla Colonial Pipeline rappresenta un punto di non ritorno per le speculazioni legate ad attività che, per propria definizione, sono a scopo di estorsione. Per quanto il gruppo autore dell’attacco tentò “di scusarsi pubblicando una dichiarazione con cui affermano che i loro obiettivi sono solo di tipo economico e che in futuro avrebbero scelto i loro target con maggiore attenzione” – CyberSecurity360 del 6 settembre – lo stesso tentativo di scuse dimostra mutamenti in atto sulle acquisizioni RaaS: scuole, strutture sanitarie, infrastrutture energetiche non sono considerati obiettivi appetibili ma esistono policy trasversali ai tradizionali manifesti con acquisizioni bersagli che interessano scuole e strutture sanitarie. L’azienda Ospedaliera San Giovanni Addolorata è la prima struttura sanitaria italiana ad aver subito un attacco ransomware simile per portata e conseguenze ai recenti registrati in USA.
Le coincidenze con l’attacco ransomware alla Regione Lazio sono riconducibili a due evidenze: l’attacco di agosto è iniziato con start alla mezzanotte e ha coinvolto il più recente sistema integrato all’infrastruttura di rete, che nel caso della Regione Lazio è coerente ai SOC e CERT oggetto delle acquisizioni LAZIOcrea gennaio 2021. Nel pomeriggio di ieri l’azienda ospedaliera romana confermava il tipo di attacco subito e le attività in essere per ripristinare e garantire i servizi essenziali: “Sono in corso da questa mattina accertamenti tecnici a seguito di un attacco informatico di tipo ransomware. Stiamo lavorando alacremente per ripristinare tutte le funzioni nel più breve tempo possibile, garantendo la continuità dell’assistenza ospedaliera“. Nel pomeriggio di oggi l’amministrazione del San Giovanni comunica i contatti provvisori – due numeri di cellulare e una email servita dal Comune di Roma: “Ci scusiamo per il disagio. Stiamo lavorando per riattivare al più presto le linee telefoniche tradizionalmente dedicate“. L’attacco ha bloccato 300 server e 1500 PC, riporta CyberSecuity360, causando “inaccessibilità non solo dei dati ma anche dei servizi“.
“Un’infiltrazione, sulla quale indaga la polizia postale, che ha paralizzato l’attività informatica della struttura sanitaria e messo a rischio migliaia di visite e interventi prenotati e da prenotare, proprio nel giorno del debutto del sistema interno deputato a questo servizio” – Roma Corsera 13 settembre. Alla mezzanotte di domenica 12 settembre l’infrastruttura di rete dell’azienda ospedaliera romana subisce un attacco ransomware che impedisce l’accesso a cartelle cliniche, referti ed esami di laboratorio. La lista dei pazienti in attesa e ricoverati in pronto soccorso è ugualmente inaccessibile: “Stiamo trascrivendo tutto a mano su fogli di carta, esami ematici, richieste di trasfusioni o di camera operatoria, siamo in un mare di guai” – la Repubblica, 13 settembre. L’attacco ha avuto conseguenze anche sui presidi Santa Maria e Britannico oltre che sulla sede amministrativa dell’azienda, tra le più grandi e ramificate strutture sanitarie del Lazio: se nel 2019 il pronto soccorso del San Giovanni ha servito assistenza ad oltre 60.000 persone, nel 2020 la struttura ha servito sotto stress attività di presidio covid, reinventando reparti in pronto soccorso.
La Colonial Pipeline e il San Giovanni di Roma sono accomunati dalla definizione di infrastruttura essenziale per la fornitura di servizi che garantiscono alle proprie utenze: infrastruttura critica nel caso d’improvvisa interruzione dei servizi erogati. Servizi essenziali come il fascicolo sanitario della Regione Lombardia, fuori gioco per oltre 3 giorni a causa di un malfunzionamento dei sistemi di raffreddamento di data center esterni, o le attività di pronto soccorso che nel caso di una struttura come il San Giovanni interessano sia le attività di soccorso che quelle di assistenza, degenza e indirizzamento pazienti. Nel caso di un ransomware, l’infiltrazione avviene con campagne di acquisizione accessi alla rete bersaglio: l’attacco alla Pipeline, ricorda CyberSecurity360, è iniziato con un phishing “alle caselle di posta elettronica dei dipendenti della società“. Il 12 agosto Microsoft Security allertava sull’evoluzione e la pericolosità di questo tipo di campagne. Lo stato del ransomware coinvolge interessi trasversali a identità non più inquadrabili in soli gruppi criminali che agiscono a scopo di lucro: un attacco a un’infrastruttura critica è comunque un RaaS.
