Netskope Threat Labs ha pubblicato il suo ultimo report sulle minacce, che rivela come gli infostealer siano stati la principale famiglia di malware e ransomware utilizzata per colpire il settore sanitario negli ultimi 12 mesi. Dal report emerge che la sanità è risultata tra i settori maggiormente colpiti nel 2023 da mega violazioni; lo studio ha esaminato anche il continuo aumento dell’adozione di applicazioni cloud nel settore sanitario, nonché le tendenze del malware in tutto il settore.
Gli infostealer sono una famiglia di malware significativa per il settore sanitario poiché gli attaccanti tentano di rubare dati preziosi da organizzazioni e pazienti per ricattare le vittime o ottenere un riscatto. In particolare, il gruppo ransomware Clop è stato particolarmente attivo nel prendere di mira le organizzazioni sanitarie e di assicurazione sanitaria, sfruttando la vulnerabilità CVE-2023-34362 MOVEit.
Il settore sanitario è stato tra quelli maggiormente colpiti nel 2023 da mega violazioni, ossia attacchi in cui sono stati rubati oltre un milione di record.
Il malware distribuito da applicazionicloud ha chiuso l’anno con circa il 40% dei download nel settore sanitario, dopo un picco del 50% registrato a giugno, per poi diminuire leggermente nella seconda metà dell’anno. Il settore sanitario ha avuto un andamento leggermente inferiore rispetto ad altri settori, ma il malware distribuito nel cloud in questo settore è cresciuto considerevolmente di anno in anno, rispetto ad appena il 30% di un anno fa.I
n particolare, il settore sanitario sembra aver registrato la percentuale più bassa di malware proveniente dal cloud negli ultimi 12 mesi, classificandosi al 7° posto con circa il 40% dei download totali di malware, dietro a telecomunicazioni, servizi finanziari, manifatturiero, retail, tecnologia, amministrazione pubblica centrale/ locale/istruzione.
Le applicazioni cloud sono sempre più utilizzate per la distribuzione del malware in quanto offrono agli attaccanti la possibilità di eludere i regolari controlli di sicurezza basati su blacklist e monitoraggio del traffico web, colpendo così le aziende che non applicano i principi Zero Trust per ispezionare regolarmente il traffico cloud.
Sebbene Microsoft OneDrive sia rimasta l’applicazione più popolare nel settore sanitario, il suo utilizzo è stato significativamente inferiore rispetto ad altri settori. Di conseguenza, i download di malware da OneDrive sono risultati inferiori di 11 punti percentuali rispetto ad altri settori.
La prevalenza generale degli attacchi malware originati da OneDrive riflette la combinazionetra le tattiche degli avversari e il comportamento delle vittime insieme alla popolarità diffusa di OneDrive.
Slack è risultata seconda per upload di dati e quinta per download, un valore significativamente più alto rispetto ad altri settori. Tuttavia, questa tendenza di utilizzo non è correlata al numero di download di malware dall’applicazione: non figura nemmeno tra le prime 10 fonti. Poiché Slack è un’applicazione aziendale solida, gli attaccanti devono utilizzare tattiche e contenuti diversi per colpire gli utenti che devono accettare o condividere inviti verso canali esterni. Questo è un processo più complesso rispetto ad altre applicazioni di messaggistica consumer come Whatsapp che potrebbero essere utilizzate su un dispositivo aziendale. Slack,tuttavia, viene più spesso utilizzata dagli attaccanti come server di comando e controllo, poiché la sua API fornisce un meccanismo flessibile per caricare i dati.
Commentando i risultati emersi, Paolo Passeri (nella foto), Cyber Intelligence Principal di Netskope ha dichiarato: “Gli infostealer sono tra le principali minacce per il settore sanitario e ciò si riflette nel fatto che nel corso del 2023 molte organizzazioni sanitarie sono state bersaglio di mega violazioni e tra i principali obiettivi della massiccia campagna Clop che sfrutta la vulnerabilità CVE-2023- 34362. Naturalmente questo modus operandi non sorprende considerando le tipologie di dati personali gestite da queste organizzazioni, ma è particolarmente efficace perché gli attaccanti non devono necessariamente crittografare i dati in un attacco in stile ransomware, ma esfiltrano le informazioni rubate e le usano per ricattare la vittima. Tra le principali famiglie di malware che hanno interessato il settore sanitario c’è anche la botnet Mirai, che attacca dispositivi IoT. Ovviamente questo ha un significato particolare per il settore sanitario, che utilizza dispositivi IoT medici connessi ad internet, le cui vulnerabilità, se non corrette, potrebbero avere conseguenze molto serie. Malware e infostealer non dovrebbero essere l’unica preoccupazione per il settore sanitario: campagne come quella orchestrata dal gruppo Clop indicano che devono essere considerati anche i rischi provenienti dalla supply chain, applicando alle terze parti la stessa strategia Zero Trust utilizzata internamenteall’organizzazione.”
Il report si basa su dati di utilizzo resi anonimi raccolti su un sottoinsieme di clienti del settore sanitario tra gli oltre 2.500 clienti di Netskope, i quali hanno dato autorizzazione preventiva affinché i loro dati vengano analizzati.
