Ransomware in Ospedale

1. 1
RANSOMWARE IN OSPEDARANSOMWARE IN OSPEDARANSOMWARE IN OSPEDARANSOMWARE IN OSPEDALELELELE
Giovanna Serenelli MDPhD, Dip. Medicina Sperimentale (in retirement) Università Studi, Perugia,
Italy
E-mail. giovanna.serenelli@unipg.it or g_serenelli@alice.it
Virus, malware, worm, trojan,Virus, malware, worm, trojan,Virus, malware, worm, trojan,Virus, malware, worm, trojan, ransomwareransomwareransomwareransomware e chi più ne più ne metta,e chi più ne più ne metta,e chi più ne più ne metta,e chi più ne più ne metta,
sono tutti nomi di minacce che ciascuno di noi può ritrovare nelsono tutti nomi di minacce che ciascuno di noi può ritrovare nelsono tutti nomi di minacce che ciascuno di noi può ritrovare nelsono tutti nomi di minacce che ciascuno di noi può ritrovare nel
proprio PC. Oggiproprio PC. Oggiproprio PC. Oggiproprio PC. Oggi,,,, ciascuna di queste minacceciascuna di queste minacceciascuna di queste minacceciascuna di queste minacce,,,, evolutesi nel corsoevolutesi nel corsoevolutesi nel corsoevolutesi nel corso
degli annidegli annidegli annidegli anni,,,, ppppuòuòuòuò bloccarti ilbloccarti ilbloccarti ilbloccarti il computer, formattarti praticamente l’hardcomputer, formattarti praticamente l’hardcomputer, formattarti praticamente l’hardcomputer, formattarti praticamente l’hard
disk, rubarti dati personali, svuotarti il conto in banca, se lo hai.disk, rubarti dati personali, svuotarti il conto in banca, se lo hai.disk, rubarti dati personali, svuotarti il conto in banca, se lo hai.disk, rubarti dati personali, svuotarti il conto in banca, se lo hai.
Viene quasi da rimpiangere eViene quasi da rimpiangere eViene quasi da rimpiangere eViene quasi da rimpiangere e dadadada guardare con simpatia i vecchiguardare con simpatia i vecchiguardare con simpatia i vecchiguardare con simpatia i vecchi,,,,
primitivi virus informatici che ti scarabocchiavanoprimitivi virus informatici che ti scarabocchiavanoprimitivi virus informatici che ti scarabocchiavanoprimitivi virus informatici che ti scarabocchiavano timidamentetimidamentetimidamentetimidamente, ma, ma, ma, ma
solo un po,solo un po,solo un po,solo un po,’ lo schermo del computer.’ lo schermo del computer.’ lo schermo del computer.’ lo schermo del computer.
Il ransomware è un particolare tipo di malware che può infettare computer
o sistemi computerizzati e ne blocca il funzionamento criptandone i dati.
La funzionalità del sistema può essere riacquisita solo dopo la
decriptazione che potrà essere ottenuta solamente pagando gli hackers che
hanno infettato il sistema e che hanno il codice di sblocco. Si richiede
frequentemente il pagamento in bitcoin, una moneta elettronica [Fig. 1]
inventata nel 2009 da Natoshi Sakamoto (1) .
Fig. 1 Il logo della Bitcoin Credits Di Bitboy - Bitcoin forums, CC0,
https://commons.wikimedia.org/w/index.php?curid=15411063
La moneta non ha una struttura di distribuzione centralizzata, ma sfrutta
un database distribuito tra i nodi della rete. Solo i blocchi [Fig. 2] validati
(in realtà catene di blocchi che mantengono la memoria delle transazioni)
entrano nei nodi. Un nodo pieno contiene una catena di blocchi validati. La
progressione tra nodi avviene solo quando sia raggiunto il ‘consenso’, cioè
quando più nodi contengano la stessa catena di blocchi. Il portafoglio
digitale è mantenuto nei PC che fungono da ‘banca’. I nodi sono peer to
peer, vale a dire nodi paritari che possono fungere sia da client che da

2. 2
server. Il sistema non è controllabile ed il possesso ed il trasferimento di
questa moneta sono naturalmente anonimi. La Bitcoin.com offre una serie
di wallet per ogni esigenza ed il portafoglio globale è limitato a 21 milioni
di bitcoin (https://www.bitcoin.com/).
Fig. 2 In nero la rappresentazione dei blocchi della rete principale, in viola i blocchi orfani. I
blocchi orfani non sono processati dai nodi locali. Credit: Theymos from Bitcoin wiki
Il problema non è nuovo e negli ultimi anni ha subito una progressiva
intensificazione: tra l’Aprile del 2014 ed il Giugno 2015 il CrytoWall (un
ransomware) ha causato negli USA, danni per 18 milioni di dollari (2).
Di fatto secondo quanto riportato dalla Symantec, la diffusione dei
ransomware è redditizia. Calcolando 5700 PC infetti ed un pagamento da
parte dell’utente di 168 dollari si ottiene un guadagno giornaliero di 33.600
dollari US. Si tratta di una stima, presumibilmente prudenziale (3) e
dunque di un affare economicamente colossale.
Quanto vale un bitcoin? Al cambio odierno 1 bitcoin equivale a 388,97
euro, a 431,13 USD o a 298,17 sterline inglesi.
Nel caso degli ospedali esiste sia una rete interna, un network [Fig. 3] con
propri portali che controlla anche dispositivi medici della più disparata
natura.

3. 3
Fig. 3 Schema molto semplificato di rete interna. Credits immagine in
http://www.merateonline.it/public/pub_immagini/2013/Maggio/rispacs.jpg
I sistemi computerizzati usano sia le connessioni tradizionali via cavo che
reti wireless. L’arrivo di un ransomware nella rete dell’ospedale ne causa il
blocco pressoché totale: documenti, fax, telefoni, servizi di farmacia,
servizi di laboratorio, diagnostica, tutto ciò che insomma si avvale dell’uso
di un computer diviene improvvisamente inutilizzabile. L’unica soluzione
possibile è il pagamento del riscatto o il trasferimento temporaneo dei
malati sino al ripristino del sistema su un backup che si spera disponibile
ed aggiornatissimo.
Non è un’ipotesi peregrina o il frutto di una fantasia perversa. E’ già
successo. Il primo caso si ebbe nel dicembre del 1989. Il ransomware fu
distribuito in 90 paesi ed il codice di sbocco potè essere ottenuto dietro
pagamento di 189 dollari da inviare ad una casella postale di Panama.
Naturalmente il prezzo si riferisce a ciascuno dei PC bloccati (4)
L’ultimo caso, di questo mese, riguarda il Presbyterian Medical Center di
Hollywood [Fig. 4]. Sembra che il codice di sblocco sia costato 40 bitcoin,
equivalenti a 17.000 dollari (4) e non 9000 bitcoins corrispondenti a 3,4
milioni di dollari come riportato da altra fonte (5). Parte dei ricoverati
sono stati, per necessità, spostati in altre strutture.

4. 4
Fig. 4 Il Presbyterian Medical Center di Hollywood Credit Junkyardsparkle - Own work, CC0
https://commons.wikimedia.org/w/index.php?curid=40153831
E’ presumibile che non sarà l’ultimo caso, nè gli USA saranno l’unico
paese ad essere attaccato. Qui la geografia ha ben poco a che fare.
Molti attacchi possono essere meno eclatanti e perciò assai più insidiosi e
pericolosi per i pazienti.
Ci riferiamo attacchi portati su apparecchi per emogasanalisi, 3 macchine
per l’esattezza, ciascuna delle quali infettate singolarmente. Non credo sia
necessario ricordare che l’emogasanalisi è indispensabile nei casi di
urgenze gravi. Ma per gli hackers può essere interessante anche la
radiologia: si va dalla strumentazione per TC, MRI a quella per ecografia.
In questi casi non c’è stata criptazione dei dati, ma la loro manipolazione è
assai più preoccupante dell’ormai ben noto furto (6). Provate ad
immaginare un’ emergenza critica ed il risultato alterato di un esame
essenziale.
Se cerchiamo la sicurezza in assoluto dobbiamo proprio dimenticarla. La
rete ha un suo lato oscuro, parallelo, spesso invisibile ai più ed ignorato

5. 5
con ampi spazi per lucrative azioni criminose. Le protezioni possono, con
difficoltà variabili, essere comunque sempre superate.
E il problema non riguarda o riguarderà solamente le strutture sanitarie, ma
anche i singoli pazienti al di fuori delle normali strutture ospedaliere.
21 febbraio 2016
Bibliografia
1 Satoshi Nakamoto Bitcoin: A Peer-to-Peer Electronic Cash System in
https://bitcoin.org/bitcoin.pdf Retrieved: 21 feb 2016
2 CRIMINALS CONTINUE TO DEFRAUD AND EXTORT FUNDS FROM
VICTIMS USING CRYPTOWALL RANSOMWARE SCHEMES
June 23, 2015 Alert Number I-062315-PSA, FBI in:
http://www.ic3.gov/media/2015/150623.aspx
3 Symantec Security Response Gavin O’Gorman, Geoff McDonald .
Ransomware: A Growing Menace Report in:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whi
tepapers/ransomware-a-growing-menace.pdf
4 Brian Mastroianni Dangerousescalationinransomwareattacks February 19, 2016, 6:00
AM http://www.cbsnews.com/news/ransomware-hollywood-presbyterian-
hospital-hacked-for-ransom/)
5 Steve Ragan Ransomware takes Hollywood hospital offline, $3.6M demanded by
attackers CSO | Feb 14, 2016 3:43 PM PT
http://www.csoonline.com/article/3033160/security/ransomware-takes-hollywood-
hospital-offline-36m-demanded-by-attackers.html
6 RESEARCH by TrapX Labs ANATOMY OF AN ATTACK.
MEDJACK (Medical Device Hijack) 2015 TrapX Security / / www.trapx.com