L'assalto ai dati sanitari in Italia: ransomware contro le ASL

martedì 18 gennaio 2022
L'assalto ai dati sanitari in Italia: ransomware contro le ASL

La corsa ai dati sanitari ormai non è una novità. Sia che lo facciano aziende legittimamente (più o meno) sia che lo facciano cyber attaccanti in maniera illegale poco conta, il dato è certo: i dati sanitari sono molto appetibili. Di ransomware che hanno colpito ospedali, istituti medici, ambulatori ne abbiamo scritto a bizzeffe, ma nella maggior parte dei casi questi eventi sono avvenuti all'estero con un'alta concentrazione negli Stati Uniti, fermo restando che in Europa, in Germania in dettaglio, si è registrato il primo caso di decesso dovuto ad attacco ransomware: una terribile tragedia che spinse alcuni dei principali gruppi Ransomware a dichiarare (alcuni lasciando le parole al vento, altri praticando davvero la risoluzione) di non voler attaccare più strutture ospedaliere e, nel caso fosse successo, di garantire la decriptazione gratuita dei dati.

Per approfondire > Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti - di Milena Gabanelli e Simona Ravizza

Tanta "nobiltà d'animo" non è però ad appannaggio di tutti i cyber criminali: gli attacchi contro strutture del settore sanitario sono in costante crescita e ormai sono sbarcati in Italia. Non torneremo di nuovo sulla vicenda che ha riguardato la Regione Lazio (ne abbiamo parlato qui e qui), ma raccontiamo altri due eventi che hanno portato al furto e alla divulgazione online di dati sanitari (che, ricordiamo, godono di tutela rafforzata conseguente alla sensibilità che il GDPR riconosce loro): il primo è l'attacco subito, pochissimi giorni fa, dall'ASL Napoli 3, mentre dell'altro, ovvero l'attacco all' USLL Euganea di Padova abbiamo già parlato qui ma ci sono aggiornamenti.

Per approfondire > Italia sotto un diluvio di attacchi informatici: nuove vittime ASL Roma 3, Artsana, ASL 2 Savona e Comune di Perugia

ASL Napoli 3 hacked
La scorsa settimana l'ASL 3 di Napoli ha subito un attacco informatico che ha portato al down del sistema IT. Il primo avviso pubblico dell'attacco subito risale all'8 Gennaio a dire il vero, quando l'annuncio è stato riportato sulla pagina Facebook dell'ASL. Pochi giorni dopo la comunicazione sul sito ufficiale, con la quale si dichiara la sospensione delle attività di ricovero programmato, sia mediche che chirurgiche presso tutte le strutture dell'ASL: paradossalmente non si fa alcun riferimento ad eventuali cyber attacchi (mentre nell'avviso dell'8 Gennaio si parla di "un sinistro al sistema informatico"), bensì viene menzionato un miglioramento delle strutture per minimizzazione del rischio Covid.

Fonte: https://www.facebook.com/AslNapoli3sud/

Finiscono in blocco anche tutte le attività Covid-correlate: prenotazione tamponi e vaccini, esiti dei test, si paralizza il sistema di tracciamento. Sull'incidente c'è il massimo riserbo (come successo per la SIAE): non è ancora chiaro cosa sia successo e come gli attaccanti siano penetrati nei sistemi.

Incredibile ma vero, sono i cyber attaccanti stessi a raccontare come sono andate le cose.

I ricercatori di sicurezza scoprono che gli attaccanti appartengono al Raas 54bb47h - Sabbath: la home page del loro siti di leak nel dark web è chiarissima e non lascia dubbi:

Fonte: Sabbath Leak Site

"Il 7 Gennaio abbiamo violato con successo la rete informatica dell'Azienda sanitaria regionale ASL Napoli 3 Sud. Durante l'attacco abbiamo sottratto dati personali, i database, documenti finanziari e altri dati sensibili... Dopo abbiamo proceduto alla criptazione completa delle macchine virtuali ospitate su 42 server HYPER-V usando un protocollo di criptazione militare: il totale è di circa 240 macchine virtuali basate su Windows, Linux e altri sistemi operativi".

Non finisce qui e si arriva alla parte paradossale: nel comunicato gli attaccanti elencano le problematiche e e gli errori trovati nelle infrastrutture della Campania. Gli attaccanti hanno rivelato che alcuni sistemi erano protetti col sistema IDS (Intrusion Detection System) Cortex XDR e che, secondo loro, né la Regione nè l'IDS Cortex sono stati in grado di proteggere il perimetro della rete e le risorse. Spiccano molti server violati eseguenti Windows 2003 e Windows 2008: sistemi più che obsolescenti, quasi trapassati. Inoltre hanno fatto sapere che

"ora l'unica cosa che stanno facendo è nascondere i risultati dell'operazione."

Infatti gli attaccanti fanno piovere minacce, pubblicando un altro post dove spiegano che la mancata risposta da parte dell'ASL o chi per lei e il mancato inizio di una trattativa avrebbero portato alla chiusura della pagina aperta appositamente per le trattative e alla pubblicazione dei dati rubati. E così accade: un sample di 1.5 GB finisce disponibile al download

Fonte: redhotcyber.com

Vi si trovano dati di fatturazione elettronica, libretti pediatrici, schede cliniche, concorsi, dati dei dipendenti, dati dei fornitori, documenti di identità, dati dei pazienti con tanto di codice fiscale, numero di telefono, visite svolte ecc...

ULSS Euganea di Padova Hacked!
L'ULSS6 di Padova, il 3 Dicembre, pubblica un comunicato stampa nel quale avverte di aver subito un attacco informatico:

"L'Ulss 6 Euganea informa che nella notte si è verificato un attacco hacker, che ha comportato il blocco della maggior parte dei server, compromettendone la fruibilità."

3 giorni dopo gli attaccanti hanno "un volto": si tratta si tratta della cyber gang dietro al ransomware Hive. La rivendicazione dell'attacco infatti viene pubblicata sul loro sito, HiveLeaks.

Fonte: sito di leak di Hive

Iniziano forte pressioni da parte degli attaccanti sulla Regione, che opta per la linea dura: non pagheranno nessun riscatto. L'ULSS 6 smentisce ogni trattativa, ma l'ultimatum degli attaccanti (scaduto all'inizio della scorsa settimana) viene prorogato di altri 3 giorni: c'è chi pensa che una trattativa sia effettivamente in corso.

Poco importa, perché il 16 Gennaio l'Azienda sanitaria pubblica una nota ufficiale:

“in merito all'attacco informatico subito il 3 dicembre scorso, l'Ulss 6 informa che i criminali, differentemente da quanto annunciato sul web con il rinvio di tre giorni dell'ultimatum, alle 23.30 di sabato 15 gennaio hanno attuato ciò che avevano promesso”, si legge.

Viene anche confermato che, tra i dati rubati, vi sono quelli relativi alle vaccinazioni: tutte informazioni che valgono a peso d'oro nel mercato nero dei Green Pass fake. Parliamo di 9000 file totali, divisi in 51 cartelle e resi disponibili a chiunque sul dark web.

La Polizia Postale ritiene che questa mossa sia stata fatta per smuovere la Regione alla trattativa: i dati pubblicati infatti, al contrario di quanto accaduto per l'ASL 3 Napoli, non sono dati personali ma hanno carattere amministrativo e gestionale. Vi si trovano infatti procedure, verbali, regolamenti, disposizioni interne ecc.. mentre i file con dati personali sono una minoranza.

Massimo riserbo: eccesso di responsabilità o si nasconde la testa sotto la sabbia?

Questi due casi, come gli altri attacchi contro aziende e strutture italiane, sono ammantati di un gran riserbo. I comunicati ufficiali arrivano sempre tardi, in alcuni casi non si parla neppure di attacco informatico, in quasi tutti si smentisce il rischio di violazione di dati personali...

Quel che spicca, oltre all'evidenza del fatto che pare non essere mai responsabilità di nessuno, è che non si diffondono mai informazioni tecniche sugli attacchi subiti. Le uniche informazioni utili sono quasi sempre pubblicate dagli attaccanti, che rispondendo alle domande di alcuni giornalisti tecnici o tramite i loro comunicati, accennano a falle e vulnerabilità, caratteristiche delle infrastrutture attaccate, exploit ecc...

Il caso SIAE è quasi scuola da questo punto di vista: ancora nessuno sa come gli attaccanti di Everest siano riusciti ad accedere alle infrastrutture aziendali, quel che si sa invece (e di certo non comunicato ufficialmente da SIAE) è che i dati sono in vendita a chi li vuole nel dark web.

Quindi ci chiediamo: come si può garantire la sicurezza dei dati, stare al passo coi tempi, provvedere alle dovute misure di mitigazione se intorno a questi attacchi cala il più totale silenzio? Poco da dire, di questo, il cyber crime ha molto da ringraziare un'Italia che preferisce salvare apparenze (e teste) che pensare seriamente ad organizzare la cyber security.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy