BianLian e il data breach all’ospedale pediatrico di Boston

BianLian è il nome che venne dato a un gruppo di cybercriminali attivo dal 2022, il quale si era specializzato nell’uso del ransomware per estorcere denaro alle sue vittime. Il nome “BianLian” prende spunto dall’arte teatrale cinese della “faccia mutevole,” un riferimento alla loro abilità di cambiare tattiche e metodi d’attacco per colpire con successo.

Il gruppo si distingue per l’utilizzo di tecniche di attacco avanzate e per la capacità di sfruttare le vulnerabilità nei sistemi di sicurezza informatica di aziende e istituzioni.

BianLian ransomware: che cos’è

Il BianLian ransomware è una delle minacce informatiche più recenti e sofisticate nel panorama della criminalità online.
A differenza di altri gruppi di cybercriminali, BianLian ha adottato un approccio misto: non solo cripta i dati delle vittime, ma minaccia di pubblicare informazioni sensibili se non viene soddisfatta una richiesta di riscatto. Questo tipo di attacco è noto come “doppia estorsione” ed è diventato una pratica comune tra i gruppi di ransomware più sofisticati.

Il gruppo BianLian ha già colpito diverse istituzioni sanitarie e aziende, mettendo in evidenza la necessità di una maggiore attenzione alla sicurezza informatica. La sua capacità di sfruttare vulnerabilità nei sistemi di difesa e di modificare continuamente le proprie tattiche, quindi, rende il BianLian ransomware particolarmente insidioso e difficile da contrastare. Ciò avviene specialmente in settori come quello sanitario, dove la protezione dei dati è cruciale.

Il data breach presso l’ospedale pediatrico di Boston

Il data breach che ha coinvolto l’ospedale pediatrico di Boston ha avuto luogo tra il 6 e il 10 settembre, causando danni significativi all’istituzione e mettendo a rischio i dati personali e sanitari di migliaia di pazienti, molti dei quali bambini.
Secondo le informazioni rilasciate dalle autorità e dall’ospedale, BianLian è riuscito a penetrare nei sistemi informatici dell’ospedale sfruttando una vulnerabilità non identificata e ad accedere a una quantità ingente di dati.

L’attacco ha causato una paralisi temporanea dei sistemi, influenzando l’operatività dell’ospedale e creando non pochi disagi sia per i pazienti sia per il personale medico. Una volta ottenuto l’accesso ai dati, i cybercriminali hanno iniziato la loro opera di estorsione chiedendo un riscatto elevato per evitare la pubblicazione delle informazioni rubate. Le trattative sono durate giorni, durante i quali l’ospedale ha lavorato a stretto contatto con esperti di sicurezza informatica e con le forze dell’ordine per cercare di mitigare i danni.

Attacco informatico: l’operazione di “doppia estorsione”

Questo attacco informatico presenta un modus operandi che rispecchia una delle tecniche più temute nel panorama dei cyberattacchi moderni: la doppia estorsione.

Che cosa prevede questo tipo di attacco informatico?
Il ransomware criptograficamente blocchi i file della vittima, rendendoli inaccessibili e che, allo stesso tempo, minacci di rendere pubbliche le informazioni private se il riscatto non viene pagato. Questo approccio crea una doppia pressione per la vittima, che si trova costretta a scegliere tra due opzioni dolorose:

• pagare un riscatto, rischiando di incentivare future estorsioni;
• affrontare la possibilità di una grave violazione della privacy e delle implicazioni legali che ne conseguono.

Nel caso dell’ospedale pediatrico di Boston, i dati compromessi includevano informazioni altamente sensibili (dettagli medici, diagnosi, contatti e persino documentazione finanziaria). La compromissione di questi dati potrebbe non solo danneggiare la reputazione dell’ospedale, ma anche avere un impatto negativo sui pazienti e sulle loro famiglie. Potrebbero subire, infatti, delle conseguenze a lungo termine, come frodi di identità o danni alla privacy.

Cybercriminali: la risposta dell’ospedale e delle autorità

I cybercriminali BianLian hanno ottenuto una doppia risposta: una dell’ospedale e una dalle autorità. Dopo il data breach, l’ospedale pediatrico di Boston ha rilasciato una dichiarazione in cui ha assicurato che la protezione dei dati dei pazienti e la sicurezza delle proprie infrastrutture erano la priorità assoluta.

Per limitare i danni, l’ospedale ha attivato immediatamente un piano di risposta agli incidenti e ha lavorato con esperti di sicurezza informatica per identificare e risolvere la vulnerabilità sfruttata da BianLian. È stato, inoltre, istituito un team di supporto per aiutare i pazienti e le loro famiglie a comprendere le misure adottate per proteggere le loro informazioni e a rispondere alle preoccupazioni relative alla possibile compromissione dei loro dati.

Le forze dell’ordine statunitensi, in parallelo, hanno avviato un’indagine per rintracciare i responsabili dell’attacco e monitorare le attività del gruppo BianLian, già noto per attacchi simili in altre strutture sanitarie e istituzioni educative.
Gli Stati Uniti, negli ultimi anni, hanno intensificato gli sforzi per combattere il ransomware e proteggere le infrastrutture critiche, con programmi di collaborazione tra il governo e il settore privato per migliorare le difese contro i cyberattacchi.

BianLian: implicazioni per il settore sanitario

Il data breach all’ospedale pediatrico di Boston è un ulteriore esempio della pericolosità degli attacchi ransomware nel settore sanitario e della complessità delle sfide legate alla protezione dei dati sensibili.
Questo attacco informatico sottolinea una tendenza preoccupante: la vulnerabilità delle strutture sanitarie agli attacchi informatici e il potenziale impatto devastante che questi attacchi possono avere su pazienti, personale medico e strutture sanitarie stesse. Molti ospedali e cliniche, negli ultimi anni, sono diventati bersagli dei cybercriminali a causa della preziosità dei dati medici, che possono essere utilizzati per scopi di estorsione o rivenduti sul mercato nero.

Il settore sanitario, infatti, è spesso caratterizzato da sistemi informatici obsoleti e da protocolli di sicurezza insufficienti: una combinazione che rende queste infrastrutture un obiettivo privilegiato per gruppi come BianLian o LockBit.
La sensibilità dei dati sanitari e la necessità di continuità dei servizi, quindi, fanno sì che le strutture sanitarie siano più inclini a pagare il riscatto per recuperare i propri sistemi e per evitare la compromissione dei dati dei pazienti.

Il futuro della sicurezza informatica contro BianLian e altri attacchi ransomware

L’attacco informatico di BianLian all’ospedale pediatrico di Boston solleva domande cruciali sulla resilienza della sicurezza informatica nelle istituzioni sanitarie e su come i governi e il settore privato possano collaborare per migliorare le difese contro queste minacce. Tra le possibili soluzioni ci sono:

• l’adozione di tecnologie più avanzate, come l’intelligenza artificiale per l’identificazione precoce delle minacce e il monitoraggio dei comportamenti sospetti;
•  la formazione del personale sanitario per evitare errori umani che potrebbero compromettere la sicurezza dei sistemi.

Il settore sanitario, inoltre, dovrebbe considerare l’adozione di protocolli di backup e di ripristino dei dati robusti, così da poter recuperare i file anche senza dover pagare un riscatto.
Le strategie di prevenzione devono includere anche l’implementazione di aggiornamenti di sicurezza tempestivi, la segmentazione dei sistemi per limitare la portata di un eventuale attacco e una maggiore attenzione alla gestione degli accessi. Tutto ciò porterebbe ad evitare che un singolo punto di vulnerabilità possa compromettere l’intero sistema.