Michael Choo

Il 9 febbraio 2025, il Mackay Memorial Hospital di Taipei, Taiwan, è stato colpito dal ransomware Crazy Hunter. Nel giro di pochi giorni, un secondo attacco ha colpito il vicino Changhua Christian Hospital.1 Gli aggressori hanno ottenuto l'accesso agli ambienti Active Directory (AD) degli ospedali e, una volta entrati, sono stati in grado di disattivare i meccanismi di sicurezza, scalare i privilegi ed eseguire codice maligno per bloccare i sistemi, mentre criptavano e rubavano milioni di cartelle cliniche.

Questi incidenti fanno parte di un aumento globale dei cyberattacchi contro i sistemi sanitari, dove gli aggressori contano sul fatto che il ripristino dei servizi medici è una questione di vita o di morte. E sanno come sfruttare gli ambienti di identità ibridi e complessi da cui dipendono le organizzazioni sanitarie, accedendo all'AD.

Perché la sicurezza di Active Directory è essenziale per le organizzazioni sanitarie

Gli attacchi alle organizzazioni sanitarie offrono ai criminali informatici l'opportunità di arricchirsi a più livelli. A monte, gli aggressori estorcono ingenti riscatti. Sul fronte posteriore, le cartelle cliniche rubate forniscono un tesoro di dati personali, pronti per essere sfruttati.

Come ha rivelato Semperis nel suo Rapporto sul rischio Ransomware 2024i primi attacchi alle organizzazioni sanitarie hanno un enorme successo, creando un caos immediato e l'urgente necessità di ripristinare le cure per i pazienti. Ma la minaccia non si esaurisce con il primo attacco. Il 35% delle organizzazioni sanitarie che hanno dichiarato di essere state attaccate ha dichiarato di aver subito più attacchi contemporaneamente. E anche quando hanno pagato il riscatto, spesso più volte, il 40% ha comunque subito una perdita di dati.

L'obiettivo principale degli attori malintenzionati che cercano di entrare nei sistemi sanitari, così come in altri settori altamente mirati come quello finanziario e manifatturiero, è l'AD. In quanto servizio di identità principale, AD è la fonte di accesso ai sistemi legacy, alle complesse architetture ibride e alla miriade di dispositivi connessi.

Ciò significa che la sicurezza dell'AD è di fondamentale importanza a tutti i livelli per qualsiasi settore critico.

Come gli aggressori sfruttano le vulnerabilità della sicurezza AD

Sebbene siano in corso indagini sulla fonte iniziale dell'intrusione negli ospedali di Taiwan, i funzionari sanno che gli aggressori hanno preso di mira specificamente gli ambienti AD degli ospedali. Nel suo rapporto tecnico sulla sicurezza informatica (CTR) 2024 Rilevamento e mitigazione delle compromissioni di Active Directoryl'Alleanza dei Cinque Occhi ha fornito indicazioni per affrontare le vulnerabilità della sicurezza di AD, osservando che una sfida fondamentale per la sicurezza di AD è che ogni utente ha permessi che consentono a un aggressore di identificare e sfruttare i punti deboli.

I malintenzionati possono accedere all'AD in diversi modi:

  • Compromettere un utente AD attraverso l'ingegneria sociale o il phishing.
  • Utilizzare un Remote Desktop Gateway (RD Gateway) esposto e mal configurato e le credenziali rubate per ottenere l'accesso diretto RDP ai sistemi interni.
  • Utilizzare credenziali compromesse per autenticarsi attraverso soluzioni VPN che non applicano l'autenticazione a più fattori (MFA), offrendo agli aggressori un punto d'appoggio all'interno della rete.
  • Utilizzare credenziali valide o vulnerabilità sfruttate per sfruttare ambienti Citrix/VDI rivolti a Internet e protetti in modo improprio o inadeguato.
  • Sfruttare le vulnerabilità o gli scarsi controlli di autenticazione nei portali self-hosted (ad esempio, sistemi HR, strumenti di supporto).
  • Impiegate il password spraying contro i punti di autenticazione raggiungibili dall'esterno, come OWA, VPN o portali SSO.

Una volta violato l'AD, gli aggressori possono utilizzare tale accesso per:

  • Sfruttare le password deboli attraverso attacchi a forza bruta, come le tecniche di spruzzatura delle password.
  • Lanciare un attacco AS-REP Roasting , se l'ospedale ha sistemi e applicazioni legacy che non supportano la pre-autenticazione Kerberos.
  • Utilizzo di credenziali privilegiate per modificare i Group Policy Object (GPO) di AD per propagare il ransomware
  • Accedere agli account di servizio legacy, che sono comuni e spesso altamente privilegiati negli ambienti ospedalieri e possono portare all'escalation dei privilegi; ad esempio, richiedere un ticket di servizio per un account legacy Domain Admin che ha un nome di Service Principal (SPN) impostato ed eseguire Kerberoasting per cercare di recuperare la password in chiaro dell'account, che porta immediatamente ai privilegi di Domain Admin

Come CrazyHunter ha navigato in AD dall'interno

Il Mackay Memorial ha notato per la prima volta un'anomalia del sistema il 9 febbraio. L'ospedale ha immediatamente segnalato il problema al Centro per la condivisione e l'analisi delle informazioni sulla sicurezza informatica (H-ISAC) del Ministero della Salute e del Welfare di Taiwan, che ha inviato una squadra di pronto intervento per accelerare il recupero.

Ma i danni sono aumentati rapidamente. Più di 500 computer dell'ospedale si sono bloccati, le cartelle cliniche e i sistemi critici sono stati crittografati e i servizi del pronto soccorso sono stati bloccati. I servizi medici sono stati ripristinati nel giro di un giorno, ma i dati personali di oltre 16,6 milioni di pazienti sono stati rubati e venduti dagli aggressori, Hunter RansomGroup2.

Il ransomware CrazyHunter ha seguito una traiettoria che potrebbe essere utilizzata per sfruttare le vulnerabilità della sicurezza AD in qualsiasi organizzazione.

Escalation dei privilegi e movimento laterale verso le GPO

Una volta entrati negli account AD compromessi, gli aggressori hanno elevato i loro privilegi all'interno di AD, probabilmente sfruttando configurazioni errate o autorizzazioni deboli.

Successivamente, gli aggressori hanno utilizzato i Group Policy Object (GPO) per distribuire eseguibili dannosi progettati per la crittografia, la manipolazione dei processi e l'elusione della sicurezza. Poiché consentono ampi controlli in AD, i GPO sono comunemente utilizzati negli attacchi ransomware per eseguire payload su più sistemi contemporaneamente.

Evasione della difesa: Attacco "Bring Your Own Vulnerable Driver

Gli attacchi BYOVD sfruttano driver firmati ma vulnerabili per aumentare i privilegi ed eseguire codice in modalità kernel. In questo caso, gli aggressori hanno utilizzato il driver Zemana vulnerabile zam64.sys, il driver con firma legittima dello strumento di protezione contro il malware ZAM. Nei tipici attacchi BYOVD, il driver viene sfruttato per lanciare attacchi di privilege-escalation e disabilitare meccanismi di sicurezza come la protezione degli endpoint o le soluzioni di rilevamento e risposta degli endpoint (EDR).

Come migliorare la resilienza operativa dei servizi critici

Come spiega il CTR Five Eyes, una volta che gli aggressori si sono infiltrati nell'AD, sfruttano la complessità delle relazioni tra utenti e sistemi. Queste interconnessioni, spesso nascoste, rendono facile per i malintenzionati mascherare le azioni dannose come "normali" modifiche all'AD, dando loro libero sfogo all'interno del sistema di identità.

Per garantire la resilienza operativa, le organizzazioni devono impiegare soluzioni di sicurezza AD specializzate per affrontare le vulnerabilità della sicurezza AD, rilevare i comportamenti anomali che possono indicare un attacco imminente e consentire un rapido ripristino quando un attacco inevitabilmente si verifica.

1. Implementare il rilevamento e la risposta alle minacce all'identità (ITDR).

Semperis Directory Services Protector (DSP) fornisce un monitoraggio continuo e consente azioni proattive per ridurre la superficie di attacco anche degli ambienti AD più grandi e complessi. DSP può:

  • Identificare eventuali configurazioni AD sospette, comprese le autorizzazioni GPO dubbie.
  • Identificare tutti gli account di servizio con crittografia debole.
  • Visibilità degli account di servizio che potrebbero essere utilizzati per accedere in modo interattivo (una forte indicazione di compromissione)
  • Identificare tutti gli account ancora suscettibili di AS-REP Roasting per consentire la bonifica di tali account, se possibile, o un monitoraggio stretto, se la bonifica non è possibile.

2. Rilevare e mitigare le minacce

Oltre a rimediare proattivamente alle vulnerabilità della sicurezza AD, le organizzazioni dovrebbero implementare una soluzione di rilevamento degli attacchi automatizzata e in tempo reale, come Semperis Lightning Identity Runtime Protection (IRP). Utilizzando algoritmi di intelligenza artificiale specificamente addestrati con esperienze reali di attacchi alle identità, questa soluzione consente ai difensori della sicurezza di ridurre il rumore del monitoraggio e di concentrarsi sugli avvisi critici che possono indicare un attacco imminente. Lightning IRP può:

  • Identificare il tentativo degli attori delle minacce di rubare i ticket di servizio con una crittografia debole
  • Identificare le attività di accesso anomale degli account compromessi.
  • Rilevare gli schemi che indicano la presenza di password spray e attacchi brute force.

3. Garantire la resilienza con un rapido recupero dell'AD

Nel caso di un attacco paralizzante o di una violazione nota, la capacità di ripristinare l'AD rapidamente e in uno stato di fiducia è essenziale per consentire alle organizzazioni di rifiutare di pagare il riscatto e ridurre gli impatti costosi.

Una soluzione di recupero come Semperis Active Directory Forest Recovery (ADFR), in grado di ripristinare l'AD senza rischiare la reinfezione del malware e gli attacchi successivi, è essenziale quando viene rilevata una grave violazione e la pulizia manuale è considerata troppo rischiosa. ADFR può:

  • Garantire che l'ambiente AD recuperato sia privo di malware e ransomware.
  • Automatizzare il ripristino della foresta AD per evitare errori umani e consentire il ripristino delle operazioni aziendali in pochi minuti o ore.
  • Velocizzare l'analisi forense post-attacco per identificare gli account compromessi e prevenire attacchi futuri.

Istantanea Semperis

I cyberattacchi al Mackay Memorial Hospital e al Changhua Christian Hospital ci ricordano che, grazie agli alti compensi e alle barriere di accesso che possono essere aggirate con una semplice e-mail di phishing, i malintenzionati hanno nel mirino le organizzazioni sanitarie. È essenziale essere preparati all'inevitabilità di un attacco informatico.

Per contrastare le minacce in continua evoluzione in questo panorama è necessario un piano di resilienza delle identità dettagliato e testato, che coordini una difesa della sicurezza AD a più livelli tra persone, processi e tecnologie. Per le organizzazioni sanitarie, con i loro sistemi complessi e in rapida evoluzione e le loro architetture ibride, le sfide di questo coordinamento sono significative.

Ma i rischi dell'inazione sono molto maggiori.

Per saperne di più sulla sicurezza di Active Directory

Note finali

  1. https://www.ithome.com.tw/news/167327
  2. https://databreaches.net/2025/03/07/taipeis-mackay-memorial-hospital-patient-information-allegedly-sold-online/