Mar 27, 2024 Approfondimenti, Campagne malware, Hacking, In evidenza, RSS
La sanità viene presa di mira dagli infostealer: a dirlo è l’ultimo report sulle minacce di settore di Netskope Threat Labs. Secondo l’analisi, gli infostealer sono stati la principale famiglia di malware usata per colpire il settore sanitario negli ultimi 12 mesi.
La sanità è anche il settore più colpito nel 2023 dalle “mega violazioni”, ovvero campagne in cui sono stati rubati più di un milione di record. Oltre ai ransomware, gli attaccanti sfruttano gli infostealer per sottrarre dati preziosi su organizzazioni e pazienti per poi ricattare le vittime al fine di ottenere un riscatto. Cl0p è stato tra i gruppi più attivi nel prendere di mira le organizzazioni sanitarie e di assicurazione sanitaria, sfruttando la nota vulnerabilità di MOVEit.
“Gli infostealer sono tra le principali minacce per il settore sanitario e ciò si riflette nel fatto che nel corso del 2023 molte organizzazioni sanitarie sono state bersaglio di mega violazioni e tra i principali obiettivi della massiccia campagna Clop che sfrutta la vulnerabilità CVE-2023- 34362. Naturalmente questo modus operandi non sorprende considerando le tipologie di dati personali gestite da queste organizzazioni, ma è particolarmente efficace perché gli attaccanti non devono necessariamente crittografare i dati in un attacco in stile ransomware, ma esfiltrano le informazioni rubate e le usano per ricattare la vittima (o i suoi clienti/pazienti)” spiega Paolo Passeri. Cyber Intelligence Principal di Netskope.
L’analisi di Netskope ha evidenziato anche che nel settore sanitario i download di malware da applicazioni cloud sono aumentati nel 2023, ma si sono stabilizzati nel secondo semestre dell’anno: dopo un picco del 50% a giugno, il numero di download ha chiuso l’anno con un 40% del totale.
La sanità è comunque il settore con la percentuale più bassa di malware provenienti dal cloud negli ultimi 12 mesi, posizionandosi dietro a settori quali telecomunicazioni, servizi finanziari, manifatturiero, retail, tecnologia ed enti di pubblica amministrazione. In generale, le applicazioni cloud sono sempre più usate per distribuire malware poiché permettono agli attaccanti di eludere i controlli di sicurezza basati su blacklist e il monitoraggio del traffico.
Microsoft OneDrive rimane l’applicazione più popolare per distribuire malware nel settore sanitario, anche se il suo utilizzo è stato molto inferiore rispetto ad altri settori. OneDrive è comunque la piattaforma più usata in ogni settore per attacchi malware grazie soprattutto alla sua popolarità.
Subito dopo OneDrive, tra le applicazioni più usate per distribuire malware nella sanità troviamo Slack. La piattaforma di messaggistica è seconda per upload di dati ma quinta per download, un valore comunque più alto rispetto ad altri settori. Slack viene usata spesso anche come server C2 perché le sue API forniscono un meccanismo flessibile per esfiltrare dati sensibili.
“Malware e infostealer non dovrebbero essere l’unica preoccupazione per il settore sanitario: campagne come quella orchestrata dal gruppo Clop indicano che devono essere considerati anche i rischi provenienti dalla supply chain, applicando alle terze parti la stessa strategia Zero Trust utilizzata internamente all’organizzazione” ha concluso Passeri.