Oggi, ci immergiamo nel meraviglioso mondo della sicurezza informatica, più specificamente, in, no, due devastanti attacchi ransomware alla società di assistenza sanitaria statunitense Ascension.
Si è parlato molto della presunta negligenza di Microsoft., Ma come spesso accade con queste cose, la verità è più profonda. Questo incidente mostra come una catena di vulnerabilità , da una password debole a sistemi obsoleti, può portare a disastri.
Contesto: Il numero di attacchi ransomware in tutto il mondo sta attraversando il tetto, specialmente nell'obiettivo utile degli Stati Uniti, è saltato nel 2024. Con oltre 5.000 attacchi segnalati, un aumento di 15 % Rispetto al 2023, la minaccia è più reale che mai. La metà di questi attacchi ha preso di mira organizzazioni, tra cui ospedali, agenzie governative e aziende private. Il caso dell'Ascensione è un tragico esempio del costo umano di questo sviluppo.
Cos'è successo? Attacco all'Ascensione
Immaginate un ospedale improvvisamente tagliato fuori dal mondo esterno: Nessuna cartella clinica elettronica, nessun appuntamento, nessuna procedura regolamentata. Questo è esattamente ciò che accadde all'Ascensione. Solo con un fattore di 140!
L'attacco di maggio 2024 Non solo 140 ospedali sono stati chiusi. e Dati da 5,6 milioni di pazienti rubati, Crea anche situazioni pericolose per la vita.
L'hack è iniziato con una piccola ma importante azione: Un appaltatore esterno ha fatto clic su un collegamento dannoso in un risultato di ricerca di Bing, causando il download di un file dannoso e l'infezione del laptop. Questo primo bug ha permesso agli aggressori di diffondersi attraverso la rete. Dal computer infetto, hanno quindi ottenuto l'accesso al cuore della rete: il Windows Active Directory. Active Directory è la chiave principale per tutte le porte di un'azienda. Se lo crepi, hai quasi la chiave principale per tutto.
"Kerberoasting": Il principio di vulnerabilitÃ
Gli aggressori hanno utilizzato un metodo chiamato Kerberoasting. Sembra un barbecue accogliente, ma è tutto tranne quello. Hanno beneficiato di un'antica vulnerabilità nel protocollo di autenticazione Kerberos di Microsoft, che si basa su un metodo di crittografia non sicuro.
Il problema? Anche se le versioni più recenti di Active Directory sono sicure, per impostazione predefinita ricadono sul metodo obsoleto e più debole quando un dispositivo, come un laptop infetto, lo richiede. È come installare l'ultimo sistema di allarme più sicuro, ma la porta si apre ancora con la vecchia chiave di tuo nonno.
Cos'è Kerberos e come funziona?
Per chi vuole saperne di più: Kerberos Questo è un protocollo di autenticazione classico degli anni '80. Utilizza "biglietti" temporanei per confermare che un dispositivo o una persona sono autorizzati. Questo è più sicuro che inviare costantemente le password.
Kerberoasting Approfitta del fatto che ogni utente valido "Biglietto di servizio" può richiedere. Questo ticket viene crittografato con l'hash della password del servizio richiesto. Gli aggressori rubano questo biglietto, decifrano l'hash offline e quindi hanno pieno accesso al servizio.
La vera causa: Password deboli e Co.
Ciò che è andato giù nel dibattito pubblico è stato il ruolo dell'Ascensione stessa. Gli attacchi Kerberoasting funzionano solo se la password hashed è abbastanza debole da essere crackata!
Il Ricercatore in materia di sicurezza informatica Tim Medin, che ha coniato il termine «kerberoasting», è certo: "Il problema che porta alla kerberoasting sono le password fondamentalmente sbagliate." Egli stima che anche una password casuale di 10 cifre sarebbe difficile da decifrare. Ciò suggerisce che la password compromessa di Ascension non era né casuale né in linea con le raccomandazioni di Microsoft.
Un altro esperto, Richard Gold, sottolinea ulteriori massicci problemi di sicurezza:
- Mancanza di segmentazione della rete: Un computer infetto non dovrebbe mai avere accesso diretto all'intera rete.
- Mancanza di principio dei diritti minimi: Gli account utente dovrebbero avere solo i diritti di accesso più necessari.
- Nessuna architettura di tiering: I sistemi importanti (come il controller di dominio) dovrebbero essere rigorosamente separati da quelli meno importanti.
In breve: Gli aggressori sono stati in grado di passare direttamente dal computer portatile dell’appaltatore alla «chiave principale» centrale della rete. Questo semplicemente non dovrebbe accadere in una società così grande. Si tratta di un classico caso di Sicurezza in profondità (o la sua mancanza). Immaginate una barca che ha più strati per sopravvivere a una crepa nello scafo. Una singola vulnerabilità non dovrebbe portare a un fallimento totale.
Un altro problema, spesso trascurato: Gli aggressori sono rimasti inosservati per tre mesi, da febbraio a maggio. Ciò indica gravi carenze nel monitoraggio della rete e nel rilevamento delle intrusioni.
E come se non bastasse: Una seconda perdita di dati
Come se il disastro del maggio 2024 non fosse sufficiente, Ascension è caduta ancora una volta vittima di una perdita di dati in un incidente separato. Come è iniziata l'azienda maggio 2025 Nel dicembre 2024 sono stati rubati i dati personali di oltre 100 000 persone.
Questo hack non ha nulla a che fare con l'attacco di Kerberoasting. È stato realizzato tramite il software di un ex partner commerciale di Ascension, che a sua volta ha utilizzato il famigerato Cl0p ransomware hack è associato. Oltre a SentinelOne, I ragazzi di Barracuda intensamente interessati all'argomento. Qui, gli aggressori hanno sfruttato una vulnerabilità in una piattaforma di trasferimento file per rubare informazioni sensibili. Si tratta, tra l'altro, di:
- Nomi, indirizzi, numeri di telefono e indirizzi e-mail
- Numeri di previdenza sociale
- Informazioni su diagnosi e assicurazioni
Ascension è stata costretta a fornire servizi gratuiti di protezione del credito e dell'identità a coloro che sono stati colpiti in cinque diversi stati degli Stati Uniti per due anni. Questo incidente dimostra ancora una volta che l'azienda sta lottando con la sicurezza di base su tutti i canali.
Le conseguenze: Se il computer fallisce
L'impatto dell'hack è stato devastante e ha colpito vite umane. Medici e infermieri non erano più in grado di accedere alle cartelle cliniche elettroniche. I sistemi per ordinare test, procedure e farmaci erano paralizzati. Un'infermiera nell'emittente statunitense NPR ha riportato un'esperienza spaventosa: Ha quasi dato a un bambino la dose sbagliata di anestetico perché i documenti scritti a mano erano confusi.
Questo incidente chiarisce cosa può accadere quando un sistema sanitario che ha funzionato completamente digitalmente per anni deve improvvisamente tornare alla carta. Molti infermieri e badanti che non avevano mai lavorato con documenti cartacei prima improvvisamente hanno dovuto ricorrere a forme vecchie di decenni stipate di cassetti.
Il danno va ben oltre l'interruzione immediata:
- Aumento del tasso di mortalità : Gli studi stimano che il tasso di mortalità negli ospedali a seguito di un attacco informatico di 1-2 % può salire.
- Conseguenze giuridiche: L'Ascensione sta già affrontando cause legali.
- Perdite finanziarie: A parte i possibili pagamenti di riscatto e il costo del ripristino dei sistemi, gli attacchi informatici possono portare a massicce perdite di entrate e strozzature nell'assunzione.
Microsoft nella critica
Ron Wyden, senatore della Federal Trade Commission (FTC) ha chiesto ufficialmente di indagare su Microsoft per errori di sicurezza informatica. Accusa la compagnia di mettere in pericolo le infrastrutture critiche degli Stati Uniti attraverso il suo atteggiamento negligente nei confronti della sicurezza. Wyden ha pubblicamente criticato il fatto che il «monopolio di fatto di Microsoft sul mercato dei sistemi operativi aziendali» costituisca una grave minaccia per la sicurezza nazionale.
I fatti sono esplosivi: I dipendenti di Wyden hanno avvertito Microsoft nel luglio 2024 di fronte alla vulnerabilità . Microsoft pubblicato in 8 ottobre 2024 Ha scritto un post sul blog a riguardo, ma non ha promesso un avviso diretto al cliente o un rapido aggiornamento del software. Quasi un anno dopo, non è stato ancora rilasciato alcun aggiornamento per disabilitare la crittografia obsoleta per impostazione predefinita.
Come Ensar Seeker, CISO di SOCRadar, ha dichiarato: "Quello che è successo con Ascension non è solo un clic o un vecchio standard di crittografia. Si tratta di rischi sistemici derivanti da configurazioni standard e dalla complessità architettonica di ecosistemi software ampiamente utilizzati come quello di Microsoft».
Cosa possono imparare le organizzazioni da questo?
Il più grande insegnamento dalla debacle dell'Ascensione è l'importanza di Pianificazione della preparazione e della risposta. Non è sufficiente eseguire solo la sicurezza IT. Si deve supporre che un attacco accadrà ad un certo punto.
La cosa più importante è avere un piano chiaro e praticarlo regolarmente. L'esperto Jen Anthony sottolinea: "I due principali fattori della risposta di un'organizzazione sono la leadership e la comunicazione."
- Pratica, pratica, pratica: c.d. "Esercizi da tavolo" Simulare un attacco informatico. Vengono identificate le vulnerabilità , migliorati i tempi di risposta e testati i canali di comunicazione.
- Comunicazione chiara: In una crisi, è essenziale comunicare apertamente e onestamente ai dipendenti e ai clienti / pazienti al fine di mantenere la fiducia.
Conclusione: Un disastro che poteva essere evitato
Gli attacchi all'Ascensione mostrano che non c'è un solo colpevole. La convenienza di Microsoft nel supportare standard obsoleti ha contribuito, ma la responsabilità più grande ricade su Ascension stessa.
La mancanza di standard di sicurezza, dalle password complesse alla segmentazione della rete ai principi di zero trust, è stata la vera ragione per cui l'attacco del maggio 2024 ha avuto così successo. Una singola vulnerabilità non avrebbe dovuto portare al collasso di una rete così grande. Il secondo incidente mostra che si tratta di un problema sistematico che va ben oltre un singolo vettore di attacco.
Soprattutto perché gli aggressori troveranno sempre nuovi modi, è compito delle aziende implementare misure di sicurezza di base e mantenerle costantemente. La storia di Ascension è un campanello d'allarme per chiunque creda che la sicurezza informatica sia solo un problema per il dipartimento IT.
Risorse aggiuntive sull'argomento:
- Principio "fiducia zero": Cosa c'è dietro questo modello di sicurezza?
- Sicurezza della password: Come si creano password davvero complesse?
- Migliori pratiche di Active Directory: Una guida per gli amministratori per proteggere Active Directory.
IT 
DE 
EN 
ES 
FR