Killnet prende di mira il settore sanitario - Che cosa è necessario sapere e cosa è necessario fare
La guerra in Ucraina si sta riacutizzando negli ultimi giorni con attacchi multipli di missili e droni. L'azione arriva sulla scia delle promesse di aiuti degli alleati occidentali fornendo carri armati per aiutare a respingere le forze russe. Ma la battaglia contro i criminali informatici sta colpendo più vicino a casa, soprattutto le organizzazioni sanitarie e gli ospedali statunitensi.
Nei giorni scorsi il gruppo filorusso Killnet ha lanciato una serie di attacchi DDoS (Denial-of-Service) contro alcune delle migliori cliniche e centri medici degli Stati Uniti. Molti esperti sostengono che attacchi simili potrebbero estendersi ad altri paesi che sostengono l'Ucraina.
Perché avete probabilmente sentito parlare di Killnet
Il gruppo Killnet non è nuovo, ma la natura dei suoi attacchi alle istituzioni governative, alle aziende private e ora alle organizzazioni sanitarie si sta evolvendo. Killnet è lo stesso collettivo di hacker filorussi che ha recentemente messo fuori uso il sito web del Parlamento europeo (PE) con un attacco DDoS dopo che i leader del PE "hanno proclamato la Russia come uno stato sostenitore del terrorismo", ha osservato il presidente del Parlamento Roberta Metsola. Anche Lituania, Repubblica Ceca e Romania hanno subito attacchi ai propri siti web governativi.
Negli Stati Uniti il panorama è un po' più ampio. L'anno scorso Killnet ha preso di mira i siti web governativi di almeno tre stati. Anche i siti web degli aeroporti statunitensi sono stati vittime di Killnet nell'ottobre 2022 e il gruppo ha rivendicato il furto dei dati dei dipendenti dall'appaltatore della difesa Lockheed Martin in un attacco informatico dell'agosto 2022.
Tutte queste organizzazioni possono essere considerate infrastrutture critiche, ma l'attacco ai sistemi sanitari rappresenta un ulteriore passo avanti, con il potenziale di colpire milioni di pazienti in un colpo solo.
Tecniche comuni, obiettivo mirato
Killnet esegue attacchi in due fasi colpendo prima i siti web con un flusso HTTP e poi colpendo i siti con un attacco di amplificazione DNS. Queste tecniche non sono peculiari, ma la recente attenzione di Killnet al settore sanitario lo è.
Data l'attenzione di alto profilo dell'amministrazione Biden alla fine dello scorso anno sull'assistenza sanitaria come area chiave in cui migliorare le linee guida e i requisiti in materia di cybersicurezza, non sorprende completamente che un'organizzazione filorussa sfrutti le vulnerabilità. Che si tratti di vulnerabilità presunte o accertate, non è questo il problema.
Cosa sappiamo e come possiamo aiutarvi
Gli autori degli attacchi di Killnet svolgono ricerche approfondite sui loro obiettivi e gli eventi recenti hanno dimostrato che è probabile che il settore dell'assistenza sanitaria rimanga un obiettivo chiave. Con la crescente digitalizzazione del settore sanitario, anche la conversazione su approccio, infrastruttura e mitigazione si sta evolvendo.
Akamai non è estranea a questa conversazione e sta conducendo un dialogo proattivo esaminando i dati e rivedendo le tecniche di ricognizione dei criminali. Questo aspetto è particolarmente importante nel settore sanitario, che ha subito il maggior numero di attacchi di tipo DDoS sulla piattaforma Akamai nel 2022 (escludendo i principali segmenti verticali, come il commercio digitale, che presentano un volume maggiore a causa della natura consolidata dei loro settori).
Abbiamo osservato che gruppi come Killnet sembrano essere ben consapevoli di chi attualmente sia o meno protetto. Gli attacchi DDoS tendono a concentrarsi sulle entità meno protette. Attraverso un'attenta e precisa ricognizione, i criminali stabiliscono chi subirà l'attacco successivo.
So che è difficile trovare il tempo e le risorse necessarie per valutare cosa sarà necessario per affrontare i rischi accettati, ma non c'è niente di peggio che essere trascinati in una guerra informatica senza un piano di risposta che è stato progettato in tempo di pace.
Roger Barranco, Vice President, Global Security Operations, Akamai
Una semplice richiesta HTTP o una ricerca di peering BGP può convalidare il percorso della richiesta dal computer dell'autore di attacchi al server web mirato o stabilire se l'infrastruttura presa di mira è protetta tramite sistemi di difesa DDoS basati su BGP/routing.
Cosa ci aspetta per il futuro?
Nessuno può prevedere il futuro. Ma come settore che è stato recentemente alle prese con la pandemia di COVID-19, margini di profitto inferiorie carenze di personale (tra una moltitudine di altre sfide), è probabile che le conversazioni sulla preparazione nell'ambiente sanitario siano state orientate maggiormente verso risultati clinici o finanziari.
Tutto ciò deve cambiare. Oggi, proteggere i pazienti è più che indossare una mascherina o fare le vaccinazioni. Si tratta di proteggere i dati personali dei pazienti e salvaguardare in modo olistico i sistemi che richiedono tempi di attività costanti per fornire assistenza sanitaria 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. La valutazione della preparazione alle minacce è una parte essenziale della conversazione, che Akamai è in grado di gestire.
Se un'azienda accetta il rischio associato a un livello relativamente debole della propria strategia difensiva, deve almeno effettuare una valutazione tecnica di ciò che sarà necessario per affrontare uno sforzo di onboarding di emergenza, ad esempio il tempo per il provisioning, l'impatto durante il periodo di provisioning, i requisiti di configurazione delle apparecchiature esistenti e i costi.
Roger Barranco, Vice President, Global Security Operations, Akamai
Ulteriori informazioni
Desiderate scoprire di più sull' evoluzione e sulla crescente minaccia degli attacchi DDoS? Questa analisi di 30 minuti sull'architettura di sicurezza con gli esperti di Akamai vi aiuterà a identificare se siete a rischio.
