Ransomware nel settore sanitario: analisi degli attacchi e strategie di difesa

I ransomware nel settore sanitario hanno un impatto diretto sulla continuità operativa di ospedali, strutture sanitarie e sistemi di cura. Questo articolo fa parte di una serie dedicata all’analisi approfondita della cybercriminalità sanitaria e si focalizza specificamente sugli attacchi ransomware che colpiscono ospedali, strutture sanitarie e sistemi di cura.

Ransomware nel settore sanitario: anatomia della minaccia

Si proceda ora con la trattazione della cyber-minaccia principe fra gli attacchi informatici, che sempre più incombe sulle aziende di tutto il globo, sanitarie incluse.

Secondo le stime del, più volte ricordato, Rapporto Clusit 2021[1] sulla sicurezza ICT, la diffusione degli attacchi di tipo ransomware è in significativa crescita, sia in termini assoluti che in termini di dimensione dei bersagli, che di ammontare dei relativi danni. Confrontando infatti i dati del Rapporto si ricava come nell’anno 2018 tali minacce rappresentassero il 23% di tutti i malware, per poi salire al 46% nel 2019, fino ad arrivare al 67% nel 2020, in pratica due terzi degli attacchi totali, relativi per l’appunto alla classe malware.

Il termine ransomware deriva dalla crasi delle parole inglesi “malware”[2](programma malevolo) e “ransom” (riscatto), ed indica proprio un malicious software che, a seconda della sua tipologia, infiltrandosi in un singolo computer (o in una rete) può cifrare, occultare o negare l’accesso a dati o informazioni, come anche limitare od impedire l’accesso ad un sistema informatico, rendendo inutilizzabili documenti, archivi ed ogni altro contenuto memorizzato sul disco fisso, col fine di costringere la persona offesa a versare un importo in denaro per il riscatto del proprio device e per il ripristino dei dati.[3]

Si riassumano di seguito le tre fasi che contraddistinguono un attacco ransomware, secondo quella che è la ricostruzione operata da Chris Goettl, Vice President of Product Management for Security Products di Ivanti, azienda specializzata in soluzioni di cybersecurity.

a) La contaminazione: per cifrare i dati di una specifica organizzazione, un attaccante dovrà in primo luogo trovare il modo di eludere le difese e le misure di sicurezza poste in essere dal soggetto target.

A tal proposito, modalità più diffusa risultano essere le e-mail di phishing, quali indirizzate a profittare della scarsa attenzione e della mancanza di conoscenza degli utenti, risultando a tutti gli effetti il principale vettore di recapito del ransomware.

In dettaglio, con la predetta tecnica, sfruttante il social engineering,[4]si fa riferimento alla ricezione di e-mail fraudolenti provenienti, in apparenza, da mittenti conosciuti ed affidabili (si pensi ad istituti bancari od assicurativi), attraverso cui gli utenti: o sono persuasi a cliccare su di un link, rimandante a sua volta ad un’ imitazione del sito web legittimo, ed a fornire, su richiesta, le proprie informazioni riservate (quali delle credenziali di accesso), o altresì sono portati a scaricare malware quali allegati, od ancora ad intraprendere altre azioni che ugualmente esporrebbero la propria organizzazione alla criminalità informatica (a furti di identità, violazioni di dati, attacchi ransomware etc.).

Si permetta allora una breve, quanto doverosa, riflessione.

La cybersicurezza non è solo un problema di tecnologia, bensì di persone: alle volte la più grande minaccia alla sicurezza di una azienda potrebbe celarsi non dietro ad un sofisticato virus né un ad un firewall installato male, quanto invece riscoprirsi nel fattore umano, nella sua disattenzione ed ingenuità.[5]

È sufficiente cioè che un dipendente, detentore di informazioni critiche, con una scarsa alfabetizzazione informatica, cada nel tranello degli hacker per rendere nullo un sistema di sicurezza avanzato.

Ed è proprio per questo motivo che le aziende dovrebbero ad oggi più che mai investire nell’idea di infondere una “cyber-cultura” mediante: formazione ed aggiornamenti periodici del personale (incentrati sulla consapevolezza dei rischi, sul valore delle informazioni, sulle procedure di sicurezza); una classificazione sistematizzata delle informazioni (suddividendole in confidenziali, interne, pubbliche etc.); nonché tramite penetration test (attraverso cui simulare attacchi di ingegneria sociale e verificare se i dipendenti adottino e rispettino effettivamente le misure di sicurezza previste).[6]

Ovviamente vi sono anche altre strategie utilizzate dagli attaccanti, quali vettori d’infezione ransomware, ad esempio tramite supporti rimovibili (si pensi ad una chiavetta USB o ad un hard disk) tale tecnica viene anche chiamata baiting (ossia “esca”), dato che, proprio come accade per le e-mail di phishing, mira a far leva sulle vulnerabilità del fattore umano, lasciando incustodito, in un luogo strategico, un supporto di memorizzazione contenente il software malevolo che si attiverà non appena l’oggetto stesso verrà collegato ad un computer.

Ancora, i criminali per intromettersi in una rete possono anche sfruttare le vulnerabilità note e non ancora patchate dagli amministratori (si pensi al celebre attacco WannaCry che sfruttava la vulnerabilità del protocollo SBM v1 sui sistemi Windows), oppure possono ugualmente accedere alle reti tramite sistemi di credential stuffing, ossia usando combinazioni di login e password sottratte dai database, diffuse e reperite online sul dark web.

b) L’estrazione: una volta eluse le difese esterne, il passo successivo per l’attaccante è quello di studiare segretamente ed indisturbato il network aziendale, mappando i server e tutta la rete di protezione, al fine di individuare la collocazione dei database che custodiscono le informazioni critiche e sensibili, ossia quei dati per cui l’azienda target sarebbe disposta a pagare pur di poterli decriptare il prima possibile.

In questo momento entrano in gioco i sistemi EDR (Endpoint Detection and Response), famiglia di strumenti tecnici composta da software di monitoraggio in grado di rilevare comportamenti sospetti, identificare una minaccia (la sua root cause, la sua portata etc.) provvedendo così al suo contenimento ed eliminazione, nonché capaci di operare un rispristino della rete alla normalità.[7]

Da soli però gli EDR potrebbero non essere sufficienti, per questo motivo a tali contromisure andrebbe affiancato un approccio di tipo zero trust (letteralmente “nessuna fiducia”), basato sull’assunto che nessun utente deve intrinsecamente esser ritenuto attendibile, per cui dovrà essere costantemente autorizzato prima di poter accedere ad una rete, ciò permette di scovare azioni sospette anche laddove queste siano riconducibile ad una utenza considerata al di sopra di ogni sospetto (come quella di un admin), ma ugualmente violata dall’attaccante.[8]

c) La cifratura: nell’ultima fase i cybercriminali usciranno allo scoperto, realizzando il loro obiettivo: bloccare l’accesso al sistema informatico, cifrare i dati dell’organizzazione e chiedere il pagamento di un riscatto per ottenerne il ripristino. In particolare l’attaccante (spesso non si tratta di singoli hacker, ma di vere e proprie organizzazioni criminali), dopo aver criptato i file rendendoli irrecuperabili, farà comparire sulla schermata del computer della vittima una richiesta di riscatto (di regola in monete virtuali), corredata da dettagliate istruzioni circa le modalità di pagamento (in genere attraverso la rete TOR, ossia nel dark web).

In effetti, un ulteriore fattore che ha contribuito ad incrementare gli attacchi ransomware è stata proprio la progressiva diffusione delle criptovalute, sempre più utilizzate dai cybercriminali data la loro tendenziale pseudonimia[9] (ed in alcuni casi anonimità), che accorda loro di esser tracciati con maggiore difficoltà.[10]

Sempre più poi gli attacchi ransomware sono accompagnati da una componente ulteriore di esfiltrazione delle informazioni, idonea a compromettere quindi non solo l’accessibilità del dato, ma anche la sua confidenzialità: oltre al rischio di totale intellegibilità dei dati, il mancato pagamento del riscatto potrà in tal caso comportare la diffusione pubblica dei dati sensibili dell’entità colpita (si pensi al caso sopra analizzato, subito dalla Ulss 6 Euganea di Padova).

Si parla in tal caso di Double extortion attack:[11] termine coniato dal fatto che l’organizzazione target si vede soggetta a due forme simultanee di estorsione, l’una mediante il blocco dei file crittografati e l’altra mediante la minaccia della pubblicazione dei dati sensibili.

Tale tattica comporterà allora la notifica alla vittima circa un periodo di tempo (da pochi giorni a diverse settimane) entro cui pagare il riscatto, se la vittima si rifiuterà di versare la somma, i dati rubati saranno resi pubblici dopo la scadenza del timer, viceversa se verrà pagato il riscatto, sarà consegnata la chiave di decifratura e i dati esfiltrati saranno distrutti. Per caricare la vittima di maggiore pressione e per dimostrare di esser davvero in possesso dei dati, è diventato comune per gli attaccanti pubblicare online, prima della scadenza del sopradetto countdown, già una piccola quantità di dati altamente sensibili, a dimostrazione così della veridicità e della serietà di quanto minacciato.[12]

Ancora, a peggiorare ulteriormente il quadro, alcuni aggressori hanno ideato una nuova tipologia di estorsione, detta Triple Extortion, in cui non solo i dati vengono crittografati ed esfiltrati, ma nel caso in cui non si risponda al pagamento del riscatto, gli aggressori potrebbero lanciare altresì un attacco DoS o DDos[13] contro alcuni servizi della vittima, aggiungendo così un ulteriore fattore di stress ad un team di sicurezza già alle prese con le prime due estorsioni (si capirà, aumentare le tattiche di pressione significa aumentare anche la probabilità di profitto).

Non è un caso che, nonostante ogni industry risulti essere possibile target di attacchi ransomware, questi colpiscano oggi, più che in passato, settori particolarmente data-sensitive, come per l’appunto quello sanitario, o enti che erogano servizi essenziali per la collettività (si pensi al settore bancario o assicurativo). La necessità infatti degli enti operanti in tali settori di poter accedere alle proprie informazioni comporta una maggiore propensione al pagamento del riscatto, di modo tale da evitare le conseguenze economiche e sociali devastanti che deriverebbero dalla perdita dei dati o anche solo dalla temporanea impossibilità di accedervi.

Alla luce di tutte le previe considerazioni risulta evidente come quella del ransomware si posizioni fra le minacce più preoccupanti, sia per società ed enti, che per le singole persone coinvolte: le organizzazioni vittime di attacchi potrebbero sì considerare di pagare gli ingenti riscatti al fine di proteggere la propria business continuity, senza tuttavia aver mai certezza circa l’onestà dei cyber criminali, i quali potrebbero, nonostante l’avvenuto pagamento, negare la consegna della chiave di decifratura dei file, pubblicare i dati aziendali sul web oppure sì regolarmente fornire la chiave promessa, ma al contempo installare componenti malevoli, lasciando così il sistema compromesso per futuri attacchi.

A ciò si aggiunga anche il dubbio relativo all’uso che i criminali medesimi possano fare del denaro ricevuto in seguito al riscatto, il cui pagamento pone inevitabilmente un dilemma di ordine non solo etico e morale, ma anche legale e reputazionale.

Volendo concludere, una corretta gestione della minaccia ransomware richiederà necessariamente un approccio multidisciplinare, in grado di spaziare dalla creazione di una governance structure tale da scongiurare la perdita di informazioni o il blocco dei sistemi interni, fino ad arrivare all’adozione di strategie post-incident[14] essenziali per garantire il contenimento delle perdite economiche derivante dall’interruzione dei servizi, dai furti di dati, nonché dalle sanzioni e dagli obblighi risarcitori.

Una rassegna di casi in sanità

Si è già capito come gli attacchi ransomware possano avere molteplici effetti avversi su di una azienda: dal danno reputazionale, ai danni monetari, alla perdita di clienti, alla riduzione della produttività.

E si sarà altrettanto intuito che, laddove un simil attacco venga sferrato sul settore sanitario, si verificheranno di conseguenza: l’impossibilità di accedere tempestivamente alle cartelle cliniche e ai dati sanitari dei pazienti, come anche severi ritardi nel prestare cure e trattamenti da parte degli operatori sanitari (spesso obbligati a tornare ad una modalità di lavoro “cartacea”), o ancora più lunghe degenze dei pazienti o loro trasferimenti in altre strutture ospedaliere, con ovvi riflessi dunque non solo per ciò che propriamente concerne la nozione di security, ma andando fortemente ad influire anche sul concetto di safety.

Si provino allora qui a riassumere le motivazioni che rendono le strutture sanitarie appetibili bersagli degli attacchi di tipo ransomware: in primis gli ospedali archiviano ed elaborano un quantitativo considerevole di informazioni sensibili e confidenziali sui pazienti (facilmente vendibili od utilizzabili per ottenere un elevato riscatto), in secundis sono altresì strutture particolarmente vulnerabili agli attacchi informatici, essendo dotate di sistemi, dispositivi e macchinari spesso datati, non aggiornati e non concepiti a prova di cybersecurity, nonché, da ultimo, si noti come la tipica pressione causata dallo scorrere del countdown ransomware si amplifichi notevolmente in ambito ospedaliero, dove vi è la consapevolezza che vedere in ostaggio applicazioni critiche e dati sensibili possa arrivare a mettere a rischio la salute, la cura, nonché la vita dei propri pazienti.

Si voglia ora calare quanto anzidetto nella realtà, operando una celere rassegna di alcuni, degli ormai innumerevoli, attacchi ransomware che hanno visto come proprio target il settore sanitario, al fine di comprenderne adeguatamente struttura, modalità operative, effetti e portata.

WannaCry

Si esordisca con quello che è ad oggi considerato il cyber attack più esteso mai lanciato, responsabile di una epidemia informatica su larga scala: durante il mese di Maggio del 2017 un insidioso attacco informatico, condotto attraverso la produzione e la diffusione del malware Wannacry ha colpito un elevato numero di server e sistemi informatici di imprese private, nonché di apparati statali dislocati nei diversi Stati. [15]

WannaCry è un ransomware della tipologia cryptoworm, ossia un particolare tipo di malware che rende inaccessibili (criptando, per l’appunto) i dati contenuti all’interno di un dispositivo, per cui l’utente si vedrà impossibilitato nell’accedere alle relative informazioni, e al contempo non potrà servirsi dei programmi installati al suo interno.

Una volta colpiti importanti server internazionali, principalmente mediante il ricorso alla tecnica offensiva (di cui sopra) del phishing, WannaCry si è poi propagato servendosi del funzionamento di un programma informatico in esso contenuto: Eternal Blue[16], ideato con la specifica finalità di sfruttare i difetti, le lacune ed i limiti del protocollo SBM di Microsoft, ossia un protocollo utilizzato per condividere files e comunicazioni di varia natura tra diversi nodi di una rete.

In altre parole, all’interno di WannaCry, oltre che alla componente ransomware vera e propria, risultava presente anche un malware in grado di agevolare la proliferazione dell’attacco, infettando molteplici macchine in un lasso di tempo estremamente ridotto, sfruttando a tale scopo una vulnerabilità di Windows, presente in particolare nelle versioni 7 e 8 (si pensi come in tanti ambiti aziendali e istituzionali molti computer del 2017 usassero ancora versioni precedenti a Windows 10).

Con tale offensiva informatica dunque, dopo aver preso in ostaggio i computer infettati, si richiese il pagamento di un riscatto in denaro (nel caso di specie in bitcoin) per ottenere la risolutiva chiave crittografica.

Si è voluto qui richiamare tale attacco poiché, oltre a danneggiare un elevato numero di imprese private, è stato un grado di bersagliare anche numerosi organi statali, detentori di importanti funzioni collettive, in particolar modo paralizzando per diversi giorni il funzionamento del National Health Service del Regno Unito, proprio in ragione del fatto che gli ospedali vedevano l’utilizzo di migliaia di dispositivi non adeguatamente aggiornati (invero, fermi alla versione di Windows XP)

Si riporti quanto dichiarato da Brad Smith, Presidente di Microsoft Corporation, in un discorso pubblico datato al 10 Novembre 2017: “A Maggio, l’attacco ransomware WannaCry ha colpito più di 200.000 computer in più di 150 paesi, mostrando al mondo intero l’ampio danno che le armi cyber-invisibili possono infliggere. Questo non ha causato solamente danni ai dispositivi informatici, ma ha avuto anche pesanti ripercussioni sui servizi da essi forniti.

Il National Audit Office del Regno Unito infatti ha recentemente concluso una analisi sull’impatto di WannaCry, appurando come quest’ultimo abbia costretto il proprio Servizio Sanitario Nazionale a deviare le ambulanze e ad annullare oltre 19.000 appuntamenti di persone sia bisognose di ricevere esami medico-diagnostici, quanto di sottoporsi a interventi chirurgici. […] WannaCry ha rappresentato un importante campanello di allarme nel mondo, mettendo in luce debolezze rilevanti per la sicurezza nazionale.”[17]

Provando dunque a riepilogare il panorama delle conseguenze subite in ambito ospedaliero, si può constatare come: il personale medico sia stato impossibilitato ad accedere ai sistemi elettronici, e di conseguenza ai dati dei pazienti; le apparecchiature mediche siano state (al pari d’altronde, degli operatori sanitari) scollegate dalla rete, causando così vari ritardi e disservizi; e ancora i pazienti, impossibilitati di ricevere le cure e i trattamenti dovuti, siano stati dirottati presso altre strutture sanitarie.

Certo non si è registrato alcun decesso direttamente collegato all’attacco, ma indirettamente si potrebbe, ragionevolmente, ipotizzare comunque un aumento del tasso di mortalità, dovuto ai rallentamenti subiti dagli ospedali nello svolgimento delle proprie regolari attività, nel prestare cioè cure e diagnosi (si immaginino le conseguenze che deriverebbero anche solo da 2,7 minuti extra impiegati affinché i pazienti sospettati di infarto miocardico ricevano un elettrocardiogramma).

Così Corrado Giustozzi, esperto di cybersecurity pubblica: “Gli esperti lo annunciano ormai da tempo: attenzione che le vulnerabilità, e in generale la scarsa sensibilità cyber propria degli ambienti ospedalieri può arrivare a causare morti, oltre che danni economici ed inerenti alla privacy”.

Sulla scia di queste ultime riflessioni, si prosegua con l’analisi di un ulteriore, nonché recente caso.

Ospedale Universitario di Düsseldorf

Secondo quanto riportato dalla stampa tedesca[18], il 10 Settembre 2020, l’Ospedale Universitario di Düsseldorf (UKD) è stato vittima di un attacco informatico di tipo ransomware, atto a prendere di mira la vulnerabilità nel software Citrix. L’iter dell’attacco ha seguito il suo regolare andamento: i computer dell’ospedale sono stati resi inaccessibili (l’attacco avrebbe colpito all’incirca 30 server della struttura), i dati sono stati crittografati ed è infine sopraggiunta la richiesta di pagamento a titolo di riscatto.

Una prima peculiarità del caso de quo consiste nel poterlo classificare come un attacco “accidentale”: lo stesso rapporto del ministro della giustizia tedesco ha riferito infatti come fosse in verità indirizzato verso l’Università di Düsseldorf, di cui tuttavia è parte anche la struttura ospedaliera, all’insaputa degli stessi hacker. La suddetta volontà di non colpire l’obiettivo ospedaliero sarebbe desumibile proprio dalla immediata collaborazione posta in essere, mediante l’invio gratuito della chiave di decrittazione, da parte degli stessi cybercriminali, una volta venuti a conoscenza delle conseguenze reali del proprio attacco: ossia il blocco dell’infrastruttura digitale dell’intero ospedale, il disservizio della rete, il rinvio o annullamento degli appuntamenti ed interventi chirurgici, nonché il trasferimento dei pazienti verso altre strutture.

Nonostante i suddetti sforzi da parte degli stessi autori criminali per annullare l’attacco, i sistemi informatici risultavano a tal punto compromessi, ed alcuni danni ormai irreparabili, di seguito occorre esser più chiari.

La notte dell’11 Settembre, i paramedici di Düsseldorf sono stati infatti avvertiti del deterioramento delle condizioni di una donna di 78 anni affetta da aneurisma aortico. A causa tuttavia dell’attacco informatico risalente al giorno precedente, che ancora riverberava i suoi effetti sul servizio ospedaliero, l’ambulanza che trasportava la donna in gravi condizioni mediche, è stata reindirizzata verso l’Helios University Hospital di Wuppertal, a più di 30km di distanza, il che ha ritardato di all’incirca un’ora le cure ed il soccorso della paziente, portandola al decesso.

Si capisce allora come la tragica sequenza degli eventi abbia fatto pensare di esser di fronte al primo caso di morte collegata direttamente ad un attacco informatico di tipo ransomware.

Tuttavia dopo un’indagine durata circa due mesi, il team di Markus Hartmann, Procuratore generale e Capo dell’unità centrale per la criminalità informatica di Colonia, concluse che non vi erano motivi sufficienti a reggere il nesso di causalità richiesto: è possibile sì che l’attacco informatico abbia, seppur minimamente, contribuito alla morte della vittima, ma ciò non è sufficiente per perseguire l’accusa di omicidio colposo, dato che lo standard di prova adottato in Germania richiederebbe ai Pubblici ministeri di dimostrare il “decisive role” dell’attacco stesso, ovvero di dimostrare l’inferenza logica per cui se non fosse stato per l’hacking, la vittima non sarebbe morta quella mattina.

In seguito invero a consultazioni con medici professionisti e dopo esser stata accuratamente predisposta l’autopsia, si ritenne che la gravità della condizione medica della vittima al momento del soccorso fosse tale che quest’ultima sarebbe ad ogni modo deceduta, indipendentemente dall’ospedale prescelto per il suo ricovero. Ciononostante, com’è ovvio, i cybercriminali rimangono perseguibili delle più tradizionali accuse di estorsione ed hacking.

Si è voluto inserire tale caso in trattazione perché pare essere un potente monito e campanello d’allarme per il futuro: l’impossibilità di ricevere cure può condurre a serie complicazioni coloro che richiedono servizi di emergenza, e così per chi che gestisce una infrastruttura critica (quale è quella ospedaliera) qualsiasi errore, disattenzione o trascuratezza nella protezione informatica potrebbe portare altresì ad esiti fatali ed irrimediabili, si potrebbe addirittura arrivare ad affermare, con le dovute cautele, che un sanità, non cyber-sicura, uccida.

Fatebenefratelli Sacco di Milano

Lo rivela “Defending the Expanding Attack Surface”, report sulle minacce informatiche relative al primo semestre 2022, a cura di Trend Micro Research: l’Italia si conferma ai vertici europei e mondiali dei Paesi più attaccati dai cybercriminali.[19]

Nel primo semestre 2022 invero si classifica quale primo Paese europeo per numero di attacchi ransomware, posizionandosi settimo al mondo, nonché primo Paese europeo per attacchi macro-malware, e terzo al mondo. Tali posizioni così elevate nella suddetta “cyber-graduatoria” pongono i cittadini davanti alla sconfortante realtà relativa alla scarsa consapevolezza verso i rischi informatici: aziende e istituzioni si ritrovano ad esser costituite proprio da milioni di singoli utenti che aprono messaggi, condividono contenuti e usano dispositivi, senza comprendere o conoscere pienamente i rischi che ne conseguono.

Si capirà allora la necessità di concludere la suddetta rassegna di attacchi ransomware nel settore sanitario, spostando l’attenzione verso uno dei casi più recenti in territorio italiano.

L’allarme è scattato la mattina di Domenica 1 Maggio 2022: i sistemi gestionali informatici dell’Asst Fatebenefratelli-Sacco, che ad oggi gestisce gli ospedali Sacco, Fatebenefratelli e Oftalmico, nonché il presidio ospedaliero Melloni, l’ospedale dei bambini Buzzi e varie strutture sanitarie e sociosanitarie territoriali , sono stati presi di mira da un attacco informatico di tipo ransomware che, travolgendo 500 server dell’infrastruttura principale, è riuscito a mandare in tilt l’intero sistema informatico, e conseguentemente i relativi presidi.[20]

In una prima nota diramata dall’Asst si legge: “Si comunica che a causa di problemi tecnici all’infrastruttura informatica aziendale, i giorni 2 e 3 Maggio 2022 il Pronto Soccorso e i Punti Prelievo dei presidi ospedalieri dell’Asst Fatebenefratelli-Sacco non saranno in grado di accettare gli accessi dei pazienti. Per analoghe motivazioni potranno esserci gravi disagi anche nell’erogazione delle prestazioni ambulatoriali negli ospedali e nelle prestazioni presso le sedi territoriali. Sono stati allertati i servizi di sicurezza informatici regionali, nonché la Polizia Postale, che hanno inviato sul posto i propri specialisti per supportare le attività dei tecnici. Al momento non ci sono tempi definibili per il ritorno alla normalità.”

È solo poi con la nota ufficiale della Regione Lombardia che arriva la conferma circa la tipologia dell’attacco: “Il disservizio è stato causato da un attacco informatico di tipo ransomware, causa della inutilizzabilità parziale dell’infrastruttura tecnologica”.

Fra le dirette conseguenze subite, a questo punto della trattazione intuibili, si evidenzino: l’inaccessibilità alle cartelle cliniche dei pazienti (con il personale sanitario costretto a tornare al metodo cartaceo per le attività di refertazione, dimissione e prenotazione), il reindirizzamento delle ambulanze in arrivo al pronto soccorso verso altre strutture, l’irreperibilità di tutte le informazioni precedentemente archiviate (si pensi alle cure in svolgimento o ai medicinali somministrati), la limitata operatività dei punti prelievo, nonché generali rallentamenti, disservizi e ritardi nella prestazione degli stessi servizi sanitari.

Un aspetto preoccupante dell’attacco de quo è che i dati per accedere alla rete dell’ospedale (le credenziali d’accesso, per l’appunto) siano state messe in vendita nell’underground criminale almeno da Gennaio. Ciò significa che qualcuno è riuscito ad avere accesso ai sistemi della struttura ospedaliera prima di tale periodo, per poi avere il tempo di rivendere in seguito tali informazioni d’accesso a terze parti, ossia a coloro che poi hanno posto concretamente in essere l’attacco informatico.

Non è tardata a sopraggiungere la rivendicazione dell’attacco da parte del gruppo criminale Vice Society che, una volta scaduto il termine per concordare la somma del riscatto e in seguito alla minaccia relativa alla possibile pubblicazione dei dati esfiltrati, ha concretamente provveduto a quanto minacciato: la pubblicazione online di una vasta raccolta di documenti sensibili. Fra i numerosi dati presenti in tale fuoriuscita sono stati identificati: dati sanitari dei pazienti (anche minori), carte di identità, documenti fiscali, tessere sanitarie, procedure interne, schede di valutazione dei dipendenti, contratti con i fornitori, istruzioni operative per il Covid-19, manuali informatici e scambi di email con i comitati etici.

Così Pierluigi Paganini, fondatore e Chief Technology Officer dell’azienda Cybaze Spa, una delle principali realtà italiane in cybersecurity: “L’attacco di cui discutiamo è inquietante per molteplici motivi, in primis perché ad esser presi di mira ancora una volta sono i servizi di una struttura sanitaria. Purtroppo gli eventi degli ultimi mesi hanno dimostrato quanto sia basso il livello di sicurezza di molti ospedali italiani, con drammatiche ripercussioni sui pazienti”.

Inquadramento giuridico: il danneggiamento informatico

Come si ricorderà, è con l’iniziale intervento organico in materia informatica, realizzato con la legge n. 547/1993, che è stata per la prima volta prevista una specifica fattispecie incriminatrice, l’art 635-bis c.p., diretta a sanzionare le condotte di danneggiamento informatico, che in precedenza venivano ricondotte nella formula della più generale fattispecie incriminatrice di danneggiamento, ex art 635 c.p.[21]

A seguire, la tutela contro le aggressioni informatiche è stata fortemente rafforzata a seguito della legge n. 48/2008, destinata proprio ad implementare lo strumentario sanzionatorio diretto a punire le condotte che si risolvono in un attentato alla integrità dei dati o dei sistemi informatici, in precisa attuazione circa le indicazioni della Convenzione di Budapest del 2001.

Così ad oggi le norme cardine in materia risultano essere due: l’art. 635-bis e 635-quater c.p., che disciplinano, rispettivamente e separatamente, il danneggiamento di informazioni, dati e programmi informatici, ed il danneggiamento di sistemi informatici o telematici.

Sono previste poi tutele rafforzate rispetto ad aggressioni particolarmente insidiose per la qualità delle informazioni o dei sistemi colpiti: l’art. 635-ter c.p. infatti punisce il danneggiamento di informazioni, dati e programmi utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità; l’art. 635-quinquies invece sanziona il danneggiamento di sistemi informatici o telematici parimenti di pubblica utilità.

È agevole intuire come i casi di attacco ransomware, di cui si è trattato in precedenza, rientrino proprio nelle anzidette fattispecie di tutela rafforzata, data l’alta sensibilità dei sistemi e dei dati colpiti, in quanto appartenenti al settore sanitario.

Grazie dunque al novum normativo introdotto dalla legge n. 48/2008, l’art. 635-bis è stato riformulato, andando, ad oggi, a sanzionare la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione di informazioni, dati e programmi altrui.[22] Si noti come a proposito delle condotte “cardine” di distruzione e deterioramento, si ritenga sussistente la prima qualora il reato venga commesso avvalendosi di un mezzo fisico, viceversa il deterioramento richiamerebbe condotte più propriamente informatiche (quale la diffusione di virus), che ad ogni modo siano indirizzate ad alterare l’accessibilità, la fruibilità e il valore del dato stesso.

L’ampiezza della formulazione normativa mira proprio a dare copertura a qualsivoglia tipologia condotta (tanto fisica quanto virtuale), che si risolva in un pregiudizio, anche solo qualitativo, delle informazioni, dei dati o dei programmi informatici, non dovendo peraltro l’agente perseguire alcun fine specifico, ma, come richiesto dal dolo generico, solo avere la consapevolezza di distruggere, deteriorare, cancellare od alterare i suddetti beni informatici protetti.[23]

L’articolo de quo risulta collocato nel sistema codicistico all’interno della cornice dei delitti contro il patrimonio, ed in particolare dei delitti commessi mediante violenza alle cose o persone (Libro II, Titolo XIII, Capo I), per cui il bene giuridico meritevole di tutela risulta essere proprio l’integrità di un particolare aspetto del patrimonio, definibile per l’appunto “informatico”, che a causa delle sue particolari caratteristiche, della sensibilità, e della rilevanza assunta nella società moderna si presenta non perfettamente omogeneo e riconducibile alle res tutelate dalla fattispecie di semplice danneggiamento ex art. 635 c.p.[24]

Per quanto riguarda poi la procedibilità del reato, quest’ultimo viene ordinariamente previsto come procedibile a querela della persona offesa, salvo quanto previsto, al secondo comma, circa le circostanze aggravanti di violenza alla persona o di minaccia, ovvero di fatto commesso con abuso della qualità di operatore di sistema, in tali ipotesi difatti il reato diviene procedibile d’ufficio.

Ad ogni modo non si dimentichi di mantenere uno sguardo d’insieme, in particolare rispetto a quanto detto circa l’inquadramento giuridico delle condotte di Data breach: l’art. 615-quinquies (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) si pone indubbiamente come norma di sbarramento preventiva, rispetto ad un danneggiamento in senso lato di un sistema informatico o telematico ex art. 635-bis e ss.,[25] così come l’art. 615-quater (Abusiva acquisizione o diffusione di codici d’accesso ad un sistema informatico o telematico) si poneva quale anticipazione della soglia di tutela rispetto alla vera e propria fattispecie di accesso abusivo ad un sistema informatico ex art. 615-ter. [26]

Come si è anticipato, la tutela sanzionatoria de quo è rafforzata dalla apposita fattispecie incriminatrice successiva (l’art. 635-ter) che sanziona i medesimi fatti di danneggiamento riguardanti informazioni, dati e programmi utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità: ciò che rileva, in sostanza, è l’utilità sociale dell’oggetto dell’aggressione, per le gravi conseguenze lesive che potrebbero derivarne per la salvaguardia degli interessi pubblici.

Quest’ultima norma si presenta peraltro di più ampia portata, nel suo primo comma infatti costruisce il reato quale reato di pericolo, attraverso la previsione della punibilità delle condotte “dirette a” distruggere, deteriorare, etc. le informazioni, i dati ed i programmi ad alta sensibilità collettiva. La concreta realizzazione dello scopo (l’effettiva distruzione, cancellazione, etc.) integra infatti una diversa ed autonoma ipotesi di danno, prevista e sanzionata più pesantemente al secondo comma del medesimo articolo.

Sono previste infine le medesime circostanze aggravanti sopra esaminate a proposito dell’art 635-bis, per cui si avrà un ulteriore aggravamento di pena qualora il fatto incriminato sia commesso con violenza o con minaccia alla persona oppure con abuso della qualità di operatore di sistema.

Per provvedere adeguatamente alle indicazioni della Convenzione di Budapest, il sistema sanzionatorio è stato completato con l’introduzione di due fattispecie incriminatrici dirette a punire le condotte di danneggiamento che abbiano ad oggetto non singoli documenti, dati o programmi, bensì il funzionamento di un intero sistema informatico o telematico.[27]

Si tratta invero dei nuovi articoli 635-quater e 635-quinquies c.p., redatti in modo speculare rispetto alle corrispondenti ipotesi di reato, sopra analizzate, proprie degli articoli 635-bis e 635.ter c.p.

Oltre alle molteplici condotte di danneggiamento, a cui si rimanda, già previste dall’art 635-bis,[28] il delitto in esame, ex art. 635-quater, può esser commesso altresì mediante “l’introduzione o trasmissione di dati, informazioni o programmi”: ed è quest’ultima l’ipotesi in cui il reato si veda commesso tramite la diffusione di malware, atti a cagionare proprio uno degli eventi di distruzione, danneggiamento, inservibilità od ostacolo al funzionamento di un intero sistema (agile viene qui il richiamo agli attacchi di tipo ransomware sopra descritti).

Ancora, risulta sanzionato non solo il rendere “in tutto o in parte inservibile il determinato sistema informatico”, ma anche l’averne parimenti “ostacolato gravemente” il funzionamento, trattasi quest’ultima di una condotta di non sempre facile apprezzabilità, essendo che richiede una valutazione prognostica circa gli esiti di una condotta che non ha concretamente prodotto in toto gli effetti dannosi cui era indirizzata.[29]

Va infine evidenziato come l’art. 635-quinquies sia costruito in modo identico rispetto all’635-ter, con l’obiettivo di rafforzare la tutela sanzionatoria indirizzata agli stessi fatti di danneggiamento laddove abbiano ad oggetto sistemi informatici o telematici di pubblica utilità, nonché parimenti si presenta costruita quale fattispecie di pericolo laddove prevede che vengano puniti gli atti idonei ed univoci “diretti a” distruggere, danneggiare, render inservibile od ostacolare gravemente il funzionamento del sistema.

Da ultimo, trattando di attacchi ransomware, non si può prescindere dal prendere in considerazione anche il delitto di estorsione ex art. 629 c.p., consistente nella costrizione di qualcuno mediante violenza o minaccia a fare od omettere qualche cosa, col fine di procurare a sé o ad altri un ingiusto profitto, con l’altrui danno, per cui si sarebbe ivi di fronte ad un estorsione di tipo telematico, in cui la tecnologia rappresenterebbe il mezzo dell’azione del reo.

Si è visto come la condotta realizzata tramite ransomware sia bifasica: ad un attacco alle risorse informatiche (consistente nel criptare i file memorizzati, impedendo l’accesso al sistema, ed ostacolandone il riavvio) segue proprio una minaccia telematica, ossia una prospettazione di una ingiustizia futura, accompagnata da una richiesta di pagamento: la somma di denaro dovrà esser corrisposta entro termini perentori per ottenere la chiave di decrittazione (e per impedire che i dati stessi vengano, laddove esfiltrati, resi pubblici).

La nozione di “violenza informatica” è peraltro ricavabile dall’art. 392, comma 3 c.p. dove si ricava come si abbia violenza sulle cose anche qualora “un programma informatico venga alterato, modificato o cancellato, in tutto o in parte, ovvero venga impedito o turbato il funzionamento di un sistema informatico o telematico”, dunque allorché il malware abbia compromesso il sistema (ad esempio disattivandone le opzioni di avvio) la suddetta nozione di violenza informatica sarebbe soddisfatta, così come sarebbe configurabile la fattispecie della cyber-estorsione.

Si noti ancora come l’articolo 629 c.p. si caratterizzi quale delitto contro il patrimonio, con cooperazione involontaria della vittima, nonché quale reato plurioffensivo (in quanto posto a tutela tanto del patrimonio, quanto della libertà morale del soggetto passivo): in tal senso anche nell’estorsione a mezzo ransomware si può scorgere la compromissione di una serie di beni giuridici, connessi alle tecnologie dell’informazione, quali la riservatezza e la sicurezza informatica, la libertà e la confidenzialità delle comunicazioni, o il concetto stesso di privacy informatica.

È ormai chiarito infine come il delitto di estorsione si consumi nel momento e nel luogo in cui si realizzano gli eventi del profitto ingiusto, con l’altrui danno, senza dubbio però in una cyber extortion a mezzo ransomware risulta di difficile individuazione il momento, nonché il luogo d’effettivo conseguimento del profitto (venendo il riscatto solitamente versato attraverso metodi non propriamente tracciabili), pertanto per una loro corretta individuazione, connessa a quella circa l’autorità giudicante competente si dovrà ricorrere ai criteri supplettivi, previsti ex art. 9 c.p.p.

Cybercrime as a Service: caso LockBit

La creazione di malicious software (o malware), quali sono i ransomware, è diventata col tempo una vera e propria industria sotterranea, un business competitivo ed in continua evoluzione, in grado di adattarsi a quelli che sono i repentini cambiamenti socio-economici mondiali. Si voglia pertanto di seguito andare a tratteggiare uno dei suoi più recenti protagonisti, ossia il cyber-gruppo criminale denominato come LockBit.

È invero solo negli ultimi anni che la sopradetta gang criminale, originaria dell’Europa orientale, ha incominciato ad affermarsi come membro d’élite della comunità underground, dacché contraddistinta da competenze tecniche di rilevo e da un modello di business innovativo in breve tempo è riuscita ad imporre il proprio prodotto come standard di riferimento nel complesso panorama delle minacce ransomware.

Così le parole di commento di Toby Lewis, Global Head of Threat Analysis di Darktrace, società di IT anglo-americana, specializzata nel settore della cyber-difesa: “LockBit, l’ormai nota gang ransomware-as-a-service, sta attraversando una fase di rapida crescita, con una adesione in continuo aumento ed un processo che risulta amplificato anche a seguito della caduta del gruppo Conti. LockBit dispone di un modello di business decisamente sofisticato, che ha permesso solamente quest’anno di attaccare già diverse organizzazioni europee: dal Dipartimento di Giustizia francese, ai gestori di pensioni tedesche Heubeck AG.”

In dettaglio il nuovo software malevolo configurato e presentato al mondo dalla cyber-crew (denominato, in omonimia, “ransomware LockBit”,) appartiene alla sottoclasse di nuova generazione dei crypto-virus, intendendosi quei virus informatici progettati per criptare i file presenti in un sistema, col fine di chiedere in seguito alla vittima un riscatto finanziario in cambio dell’ottenimento della chiave di decifratura, quale unico metodo possibile per rientrare in possesso dei propri dati.[30]

Come più volte ribadito, gli obiettivi in maggior misura esposti a tale tipologia di attacco sono proprio quei soggetti maggiormente suscettibili, nonché danneggiabili dalla interruzione dei propri sistemi, così da essere di conseguenza anche i più propensi, avendo i fondi sufficienti, al versamento del riscatto monetario. Pertanto, si sarà intuito, target vulnerabili risultano essere le aziende di grandi dimensioni, dagli istituti finanziari a quelli sanitari (d’altronde nel previo capitolo già si è avuto modo di accennare al gruppo LockBit trattando proprio dell’attacco informatico di tipo ransomware indirizzato all’Ulss Euganea di Padova dell’anno 2021).

Ciò che più contraddistingue il gruppo criminale de quo è l’adozione dello specifico modello di business definito come “Ransomware-as-a-Service” (lett. “ransomware distribuito come servizio”) tramite cui un gruppo criminale affiliato più piccolo, con verosimilmente meno risorse interne, affitterà il ransomware “pronto all’uso” di un cyber-gruppo più grande per realizzare i propri attacchi.[31]

È una modalità di impresa curiosamente speculare al modo legittimo in cui semplici sviluppatori di software distribuiscono i prodotti SaaS (Software-as-a-service) nel mercato lecito, con la ovvia differenza che i Kit RaaS (facilmente reperibili grazie alla loro larga pubblicizzazione sul dark web), consentiranno ad attori malintenzionati, manchevoli di capacità tecniche o di tempo per sviluppare le proprie varianti ramsomware, di essere comunque operativi in modo rapido e conveniente.

Il meccanismo è dunque lineare: il team di sviluppatori di LockBit fornirà le proprie “armi” informatiche (non solo ransomware taylor-made, ma anche tools di post-intrusione, liste di accessi etc.) ai propri clienti che le impiegheranno per portare a compimento specifici attacchi, ricevendo in seguito come corrispettivo dello scambio una quota del riscatto ottenuto (tipicamente attorno al 20-30%, in aggiunta alla malware creation fee). [32]

Si provino ora a riassumere le fasi di un attacco operato tramite LockBit:[33]

a) Exploit dei punti deboli di una rete: i gruppi criminali affiliati selezionano i loro potenziali obiettivi e ne “bucano” il sistema, facendo affidamento sui metodi più svariati, quali le tattiche di social engineering (si pensi al phishing), la scansione massiva delle vulnerabilità, o semplicemente acquistando nell’underground digitale accessi RDP (Remote Desktop Protocol) già compromessi. Peraltro non è raro che siano proprio gli stessi membri del gruppo LockBit a specializzarsi nella acquisizione illecita di credenziali di accesso per rivenderle sul web ricavandone in tal modo ulteriore profitto.

b) Infiltrazione: prima ancora della crittografia LockBit intraprenderà in modo indipendente tutte le azioni di preparazione alla configurazione dell’attacco: si pensi alla disabilitazione dei programmi di sicurezza o di qualsiasi altra infrastruttura che potrebbe consentire il ripristino del sistema. L’obiettivo dell’infiltrazione consiste nel rendere irrealizzabile un ripristino automatico del sistema o ad ogni modo di rallentarlo a sufficienza cosicché l’unica soluzione pratica per la vittima sia quella di arrendersi al pagamento del riscatto.

c) Esecuzione: una volta preparata la rete per la mobilitazione completa di LockBit, il malware stesso avvia in automatico la sua propagazione verso qualsiasi dispositivo che sia in grado di raggiungere. Ciò che rende particolare LockBit è proprio il fatto di essere un ransomware operante in modalità SAR (Semi-Automated Ransomware), dotato cioè della capacità di diffondersi e autopropagarsi in autonomia: dopo che l’attacco ha infettato un singolo host, può difatti trovare altri host accessibili, connetterli a quelli infetti a condividere l’infezione tramite uno script, il tutto interamente senza bisogno dell’intervento umano.

d) Trattativa: così si giunge alla vera e propria fase di criptaggio, tramite cui si pone un “blocco” su tutti i file del sistema, rilasciando un semplice file di testo contenente la sopradetta richiesta di riscatto: la vittima è invitata a prendere contatto con l’attaccante al fine di procurarsi il “decryptor” necessario al recupero di file e documenti resi indisponibili. Ovvio è che a questo punto gli attaccanti potranno utilizzare svariati approcci psicologici per spingere e coartare la vittima al pagamento (si pensi alla classica imposizione di un countdown unito alla minaccia di render pubblici tutti i dati esfiltrati).

Quale regola d’oro del mondo digitale tutto, si ponga in rilievo l’importanza della mitigazione del rischio, come altresì dell’adozione di misure precauzionali atte a garantire che una data organizzazione sia resiliente ad eventuali attacchi informatici sin dall’inizio.

Si elenchino perciò, a fini chiarificatori, alcune tecniche preventive utili a proteggersi specificatamente da quella che è la minaccia LockBit, fra cui:[34]

a) realizzare backup periodicamente aggiornati, mantenendo così sempre una copia crittografata dei dati offline;

b) operare frequenti check-up dei sistemi per rilevare e rimuovere account obsoleti, inutilizzati e mai disattivati in quanto potenziali punti deboli del sistema;

c) implementare l’impiego di password sicure, complesse ed univoche (si è già potuto notare come molte delle violazioni si verifichino a causa di default password mai cambiate o sufficientemente semplici da rilevare tramite strumenti basati su algoritmi di analisi);

d) impostare l’autenticazione a più fattori[35] ove possibile, andando così a sommare più livelli di accesso (si pensi ad esempio alle potenzialità del riconoscimento biometrico);

e) limitare il più possibile la concessione di privilegi di amministrazione, applicando strategie di accesso Zero-Trust[36]in modo da impedire a potenziali minacce di passare inosservate;

f) applicare modelli di network segmentation, suddividendo cioè la rete in diverse sottoreti, ossia unità più piccole e gestibili, ciascuna dotata di controlli e servizi sicurezza unici, limitando in tal modo la diffusione laterale di un eventuale malware e riducendo al minimo la superficie di attacco;

g) verificare se l’organizzazione utilizzi dispositivi e/o servizi per l’accesso remoto e risolvere eventuali loro vulnerabilità e debolezze segnalate.

Si transiti a seguire verso l’analisi di un’ultima tipologia di cyberminacce, che bramano come target non più un sistema informatico nel suo complesso, quanto un dispositivo, strumento od apparecchiatura medicali, col preciso fine di impattare sulla disponibilità del servizio che questi supportano, quanto sulla riservatezza dei dati raccolti, nonché altresì sulla sicurezza del paziente stesso che ne stia facendo uso.

L’analisi condotta rivela come i ransomware nel settore sanitario costituiscano una minaccia sistemica per il comparto, capace di compromettere non solo la sicurezza informatica delle strutture, ma anche la continuità delle cure e, in casi estremi, la vita stessa dei pazienti.

Nel prossimo articolo della serie esploreremo le cyber-intrusioni in dispositivi medicali, analizzando come gli attacchi informatici possano compromettere direttamente apparecchiature mediche critiche.

Per una trattazione esaustiva del tema legato al ransomware nel settore sanitario e alle problematiche in tema di cybersecurity per il comparto medico invitiamo a scaricare il white paper gratuito di Maria Vittoria Zucca dal titolo “La cybercriminalità nel settore sanitario: anamnesi, diagnosi e prognosi di una ‘patologia’ informatica”.

Fonti:

[1] Rapporto Clusit 2021, op cit. supra a nota 52, pp. 26-30.

[2] A sua volta il termine malware deriva dalla contrazione delle parole inglesi “malicious” e “software” e sta ad indicare programmi realizzati al fine di danneggiare i sistemi su cui vengono eseguiti o con l’obiettivo di sottrarre informazioni sensibili.

[3] Il primo caso di ransomware risale al 1989. Il biologo americano Joseph Popp utilizzò il trojan AIDS (noto anche come Aids Info Disk), diffondendolo attraverso migliaia di floppy disk consegnati ai partecipanti ad un congresso sull’Aids. Per ottenere la chiave di decifratura e rientrare in possesso dei propri dati, gli utenti dovettero pagare un riscatto di 189 dollari da inviare ad un ufficio postale di Panama.

[4] Per social engineering (o ingegneria sociale) ci si riferisce ad una tecnica di attacco cyber basata sullo studio del comportamento e della psicologia umana, così da sfruttarne debolezze e vulnerabilità, al fine di spingere gli individui target a compiere azioni avventate e contrarie ai loro migliori interessi. È una tecnica largamente utilizzata dagli hacker in quanto, si capisce, è indubbiamente più facile e meno costoso ingannare le persone (c.d. “hacking umano”) che violare un computer od una rete.

[5] K. Mitnick, L’arte dell’inganno, Feltrinelli, Milano, 2013.

[6] A. Antonilli, op. cit. supra a nota 3, pp. 94-96.

[7] Kaspersky, EDR & MDR: tutto ciò che occorre sapere: definizioni, funzionalità e vantaggi, Kaspersky Lab., 2021, p.3

[8] Zscaler, Le tre chiavi per la trasformazione attraverso l’approccio zero trust: piattaforma, persone e processo, Zscaler Inc., 2021.

[9] La maggior parte delle criptovalute infatti non sono anonime, ma pseudonime, in quanto la criptovaluta stessa all’interno di un portafoglio virtuale non è legata alle persone, ma piuttosto a una o più chiavi specifiche (o “indirizzi”).

[10] F. Di Geronimo, C. Maggia, “La gestione dei ransomware, un approccio multidisciplinare”, in Privacy & Data Protection, Technology, Cybersecurity, n. 1, Aprile 2022, Egea, pp. 74-99.

[11] La paternità di tale metodo va riconosciuta al gruppo criminale Maze che, a fine 2019, minacciò di utilizzare le informazioni sensibili trafugate come base per compiere ulteriori azioni malevoli, minacciando altresì la pubblicazione di tutti i file rubati fra cui risultavano presenti contratti, cartelle personali dei dipendenti e documenti riguardanti clienti.

[12] Exprivia, “Maze e ransomware as a service: sanità sotto minaccia della doppia e tripla estorsione”, in Cybersecurity360, 22 Giugno 2021, pp. 2-5.

[13] Con Distributed Denial of Service (DDoS) si indica una forma di attacco Dos, che tenta di rendere non disponibile un sito web o una risorsa di rete, sovraccaricandoli con traffico dannoso, proveniente non da un unico dispositivo ma da più computer appartenenti ad una botnet più ampia, “stressando” così i sistemi target al fine di renderli inutilizzabili.

[14] Per Cyber Incident Response si intende, in questa sede, un “set” di azioni in risposta ad un attacco ransomware: quali un intervento di immediate rescue, finalizzato ad eliminare o impedire il prodursi delle conseguenze negative legate all’evento.

[15] D. Mandrioli, “Il caso WannaCry: il fenomeno dei cyber attacks nel contesto della responsabilità internazionale degli stati”, in La comunità scientifica, Fasc. 3/2018, Editoriale scientifica Srl, pp. 473-492.

[16] Tale programma è definito dagli esperti come un “exploit” del protocollo SBM (Server Message Block) di Windows, intendendosi con tale espressione un programma in grado di conoscere e sfruttare le lacune e i difetti di un dato protocollo.

[17] V. De Luca, G. M. di Sant’Agata, F. Voce, Il ruolo dell’Italia nella sicurezza cibernetica: minacce, sfide e opportunità, FrancoAngeli, Milano, 2018, p.43.

[18] Si rimanda al quotidiano tedesco Tagesspiegel.

[19] Trend Micro, Defending the Expanding Attack Surface: Midyear Cybersecurity Report, Trend Micro Research, global leader in Cybersecurity, 2022.

[20] Si rimanda a quotidiani locali, fra cui “Attacco hacker all’Asst Fatebenefratelli-Sacco: limitati gli accessi al pronto soccorso e ai punti prelievi”, in Regioni e ASL, quotidiano online di informazione sanitaria, 2 Maggio 2022.

[21] G. Amato, “I reati informatici e le modifiche apportate dalla legge n. 48/2008”, in G. Amato, V. Desposito, G. Dezzani, C. Santoriello (a cura di), I reati informatici, CEDAM, Mlano, 2010, pp.27-122.

[22] È opportuno segnalare che giurisprudenza relativamente recente ha interpretato in maniera estensiva il concetto di “cancellazione” dei dati, affermando che essa possa consistere anche in una loro rimozione in via semplicemente provvisoria, rimediabile con un successivo intervento recuperatorio postumo, per cui “cancellazione” non equivarrebbe necessariamente ad una “irrecuperabile elisione” (Cass. Pen. Sez. V, 18 Novembre 2011, n. 2728).

[23] Le “informazioni” costituiscono un insieme, più o meno ampio, di dati organizzati secondo determinata una logica; per “dato” si intende invece qualunque rappresentazione non interpretata di un fatto, codificato in modo da poter essere utilizzato tramite elaboratore; infine per “programma” deve intendersi una serie di istruzioni espresse attraverso un linguaggio comprensibile alla macchina, progettate al fine di ottenere un serie di prestazioni dall’elaboratore elettronico, così L. Cuomo, R. Razzante, La nuova disciplina dei reati informatici, Giappichelli Editore, Torino, 1 Maggio 2009, p. 205.

[24] L. Stilo. “Il danneggiamento informatico: genesi e aspetti problematici della fattispecie, in Diritto & Diritti, Rivista Giuridica online, Dicembre 2003.

[25] Ciò non esclude, ovviamente, la configurabilità del tentativo di danneggiamento, a meno che la condotta non coincida con quella prevista dall’art 615-quinquies c.p., nel qual caso, per il principio di specialità, dovrà trovare applicazione solo il reato previsto da tale norma che, appunto, costituisce una anticipazione della soglia di tutela.

[26] Rispetto alla condotta di accesso abusivo si noti come sia ritenuto ammissibile il concorso di tale reato con quello di danneggiamento informatico (art 635-bis) nelle sole ipotesi in cui l’accesso abusivo non sia limitato al tempo strettamente necessario per danneggiare: quando infatti l’accesso coincide o è strettamente finalizzato alla condotta vandalica è da ritenere che il reato in questione sia assorbito nel più grave reato ex art. 635-bis.

[27] Quanto alla definizione di “sistema informatico”, può essere utile ricordare l’art. 1 della Convenzione di Budapest, dove viene indicato come “qualsiasi apparecchiatura o rete di apparecchiature interconnesse o collegate, una o più delle quali, attraverso l’esecuzione di un programma, compiono l’elaborazione automatica di dati”.

[28] Verranno sanzionate quindi, alternativamente, condotte quali la distruzione, il deterioramento, o l’inservibilità di un sistema telematico od informatico. Sebbene siano condotte diverse per caratteristiche morfologiche, si presentano accumunate dall’eguale attitudine a produrre un medesimo risultato, che è poi l’evento tipico della fattispecie: l’alterazione funzionale o strutturale della cosa, ovvero un suo deterioramento, purché sia di un certa consistenza ed evidenza.

[29] La previsione si spiega in ragione delle indicazioni contenute nella Convenzione di Budapest, dove l’attentato all’integrità di un sistema informatico viene costruito attribuendosi rilievo ad ogni condotta che si sostanzi in un “serio pericolo” al funzionamento del sistema stesso, anche laddove questo non venga in toto danneggiato e reso inservibile.

[30] S. S. Anandrao, ”Cryptovirology: “Virus approach”, in International Journal of Network Security and Its Applications (IJNSA), Vol. 3, N. 4, July 2011, pp. 33-46.

[31] P. H. Meland, Y. F. Bayoumy, G. Sindre, “The ransomware-as-a-Service economy within the darknet” in Computers and Security, Vol. 92, 29 February 2020, pp.1-8.

[32] Ibidem.

[33] E. De Lucia, “L’analisi tecnica: LockBit, chi è e come agisce la gang del ransomware”, in Cybersecurity360, testata editoriale di Digital360, 12 Agosto 2021.

[34] FBI, Indicators of Compromise associated with LockBit 2.0, FBI Cyber division, 4 February 2022.

[35] Per Multi-Factor Authentication o MFA si intende un metodo di autenticazione sicuro che chiede agli utenti di dimostrare la propria identità fornendo due o più prove (o fattori) nel momento stesso in cui eseguono l’accesso (ad esempio oltre alla password agli utenti potrebbe esser richiesto di inserire un codice inviato tramite e-mail).

[36] Si ripeta come un approccio di tipo Zero trust (letteralmente “nessuna fiducia”), sia basato sull’assunto che nessun utente deve intrinsecamente esser ritenuto attendibile, per cui dovrà essere costantemente autorizzato prima di poter accedere ad una rete, ciò permette di scovare azioni sospette anche laddove queste siano riconducibile ad una utenza considerata al di sopra di ogni sospetto (come quella di un admin).