L’ex direttore del National Cyber Security Centre, Ciaran Martin, ammette di essere rimasto “inorridito ma non sorpreso” dall’impatto dell’attacco sugli ospedali londinesi. Un membro della cybergang Qilin: “Dispiaciuti per i pazienti, ma la colpa è del governo”.
Attacco ransomware contro l’Nhs, il National health service. Il 4 giugno scorso i principali ospedali del Servizio sanitario nazionale britannico a Londra sono stati colpiti da un rilevante cyberattacco che ha provocato una serie di interruzioni nei loro servizi. Il cyberattacco che ha paralizzato gli ospedali londinesi ha avuto un “grande impatto” sul King’s College Hospital (che in una nota ha spiegato l’accaduto) e sul Guy’s and St Thomas’ (attraverso un comunicato ha reso noto quanto è avvenuto), ma anche sul Royal Brompton e sull’Evelina London Children’s Hospital. Alcune operazioni sono state cancellate o reindirizzate ad altri fornitori del Servizio sanitario nazionale, con i nosocomi impegnati a stabilire quali procedure svolgere in sicurezza.
A distanza di un mese l’eco dell’attacco ransomware contro l’Nhs risuona ancora, tanto da far ammettere a Ciaran Martin – primo direttore (dal 2016 al 2020) del National Cyber Security Centre, l’agenzia per la cybersicurezza nazionale del Regno Unito, e oggi professore della Blavatnik School of Government presso l’Università di Oxford –, che si è trattato di “uno degli incidenti informatici più gravi nella storia britannica“. C’è di più. Il timore è che, se non si interverrà prontamente, il Servizio sanitario nazionale rimanga vulnerabile a gravi attacchi informatici. “Sono rimasto inorridito ma non meravigliato. Gli attacchi ransomware alla sanità rappresentano un problema globale”, l’ulteriore commento di Martin alla Bbc.
Ransomware mette in ginocchio gli ospedali londinesi
Il cyberattacco ha colpito Synnovis, la società di analisi cliniche diagnostiche nata da una collaborazione tra la filiale inglese di Synlab e le strutture sanitarie Guy’s and St Thomas’ e King’s College Hospital. Insieme alla richiesta di riscatto, il blocco dei sistemi di Synnovis ha avuto un impatto importante sui suoi clienti, ovvero molti ospedali londinesi che, nella prima settimana dopo il cyberattacco, sono stati costretti a cancellare complessivamente circa 800 interventi chirurgici e 700 appuntamenti con i pazienti.
In particolare, l’attacco malware ha causato gravi ripercussioni sulle trasfusioni di sangue, tant’è che il personale sanitario ha dovuto utilizzare le sacche appartenenti al gruppo 0 Rh negativo (“donatore universale”) e al gruppo 0 Positivo (non “universale” ma statisticamente compatibile a tre individui su quattro). Valutata la gravità dei fatti, l’Nhs Blood and Transplant del Regno Unito ha “richiamato” con urgenza i donatori.
Oggi il Servizio sanitario nazionale fa sapere che sta incrementando la propria cyber resilienza, dopo aver investito 338 milioni di sterline negli ultimi sette anni. Potrà bastare? L’allerta rimane alta, considerando che la British medical association ha pubblicato un report da cui emerge che i sanitari inglesi impegnano 13,5 milioni di ore all’anno (il corrispettivo dell’impiego di 8mila operatori a tempo pieno) a causa di sistemi operativi obsoleti.
Il collettivo Qilin dietro l’attacco alla sanità
L’attacco informatico agli ospedali londinesi è stato condotto dalla cybergang Qilin – attivo dal 2022 e specializzato in attacchi ransomware offerti anche sotto forma di servizio in outsourcing ad altri gruppi di criminal hacker affiliati (Ransomware-as-a-service) – di cui uno dei membri, coperto da anonimato, ha rilasciato un’intervista alla Bbc. Dichiarandosi “dispiaciuto” e vicino ai cittadini inglesi vittime delle azioni del collettivo criminale, l’uomo però ha rimarcato che il gruppo non intende “farsi carico” delle responsabilità dei disagi e del caos provocato. Etichettando il governo inglese come “unico colpevole”.
Dichiarazioni che hanno lasciato qualche perplessità nell’ex direttore del National Cyber Security Centre che, sempre alla Bbc, ritiene certamente plausibile che i membri di Qilin siano russi. Ma, al contempo, non direttamente collegati al governo di Vladimir Putin, ritenendo che la ragione più probabile dell’attacco sia l’estorsione. Sarebbe infatti la prima volta che la cybergang russa ammette una motivazione di natura politica.