Il gruppo criminale Vice Society ha rivendicato l’attacco informatico contro l’Azienda Socio Sanitaria Territoriale Fatebenefratelli Sacco di Milano che, lo scorso primo maggio 2022, ha reso indisponibili i sistemi gestionali informatici degli ospedali Sacco, Fatebene, Buzzi e Macedonio Melloni di Milano.
“L’attacco di cui discutiamo è inquietante per molteplici motivi, in primis perché ad esser presi di mira ancora una volta sono i servizi di una struttura sanitaria. Purtroppo, gli eventi degli ultimi mesi hanno dimostrato quanto sia basso il livello di sicurezza di molti ospedali italiani, con drammatiche ripercussioni su pazienti”, ci dice Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Aggiornamento del 22/06/2022
La rivendicazione dell’attacco informatico contro l’Azienda Socio Sanitaria Territoriale Fatebenefratelli Sacco di Milano da parte del gruppo criminale Vice Society ha reso possibile accertare la tipologia ransomware dell’attacco stesso. Vice Society è infatti tristemente noto proprio per l’utilizzo del software malevolo in grado di cifrare tutti i documenti con i quali riesce ad entrare in contatto, per poi chiederne riscatto ed eventualmente esporli a trattativa fallita.
Un data breach importante quello a cui stiamo assistendo. È esattamente ciò che è successo ai dati dell’ospedale Macedonio Melloni, Fatebenefratelli e Sacco di Milano che al momento sono stati esposti pubblicamente, evidenziando grandi raccolte di documenti sensibili riportanti dati sanitari di pazienti, anche minori. Ma anche dati personali relativi ai dipendenti, documenti fiscali e decisionali dell’ASST che non dovrebbe essere pubblici, proprio per la loro sensibilità.
L’archivio è corposo e, come spesso accade in questi casi, conta unicamente cartelle e dati riportanti documenti, indizio che fa ipotizzare l’aver preso di mira uno o più fileserver, probabilmente anche per il tramite di cartelle condivise nelle singole postazioni dell’ente sanitario. In effetti sono stati esposti anche i nomi di queste cartelle, alcune delle quali riporta proprio il nome che il sistema operativo assegna come etichetta all’unità di condivisione file, quando viene “montata”.
Indice degli argomenti
Fatebenefratelli Sacco di Milano, pronto soccorso a rilento
La conseguenza dell’attacco è stato che i sistemi informativi degli ospedali sono in tilt, mentre il personale medico e sanitario è costretto a ricorrere a carta e penna per la registrazione di pazienti, cure e medicinali somministrati.
I disagi per i pazienti sono stati immediati, già dalla giornata del primo maggio: il disservizio si sta protraendo anche nella giornata di oggi e si prevede anche per tutto domani 3 maggio. Evidenti ritardi, infatti, si stanno accumulando nella gestione delle emergenze del pronto soccorso e del Macedonio Melloni, nonché dell’ospedale dei bambini Buzzi.
Alla gestione affidata unicamente a carta e penna si affianca anche l’irreperibilità delle informazioni precedentemente archiviate: cure in svolgimento, medicine da somministrare o somministrate in passato e nessun accesso alle cartelle cliniche. Tutte informazioni essenziali per lo svolgimento del lavoro del personale sanitario, ora in grosse difficoltà vista l’indisponibilità.
La nostra analisi dell’attacco informatico al Fatebenefratelli Sacco di Milano
Al momento dell’attacco lo scorso primo maggio 2022 non erano apparse rivendicazioni da parte di gruppi criminali relative all’incidente contro l’Asst Fatebenefratelli Sacco di Milano. Tuttavia, stando alle note rilasciate a mezzo stampa, sembra poter essere un ransomware la causa del disastro nella struttura sanitaria.
In una nota si parlava, infatti, di “cartelle cliniche criptate”, perciò indisponibili, che sappiamo essere il primo segnale comportamentale di un attacco di tipo ransomware. Nel caso venisse verificata questa ipotesi, seguirà quasi sicuramente una rivendicazione e/o un’eventuale esposizione di dati rubati durante le fasi dell’attacco.
Va detto che l’Asst Fatebenefratelli Sacco di Milano ha prontamente reagito all’attacco con segnalazione alle autorità competenti, tra le quali la Polizia Postale che sta supportando il ripristino dell’operatività. Nonostante ciò, ad ora, i tempi di risoluzione non sono definibili e sembra si debba ancora lavorare a oltranza per sistemare il danno creato, nella giornata del 2 maggio e anche tutta la giornata di domani.
“Un aspetto preoccupante dell’attacco è che le informazioni per accedere alla rete dell’ospedale siano state messe in vendita nell’underground criminale almeno da gennaio. Ciò significa che qualcuno è riuscito ad avere accesso ai sistemi della struttura ospedaliera prima di gennaio per poi rivendere tali accessi a terze parti, ovvero a coloro che poi hanno realizzato l’attacco”, ci dice ancora Pierluigi Paganini.
Access as a service per ransomware
L’analista fa notare, inoltre, come “il modello di Access-as-a-Service è sempre più utilizzato dai criminali informatici, soprattutto dalle varie operazioni ransomware che si riferiscono ad access broker per selezionare le proprie vittime ed avere le informazioni per accedere alle loro strutture. In questo modello gli attacchi sono rapidi ed efficaci, ed i risultati sono sotto gli occhi di tutti”.
All’ipotesi del ransomware si affianca tuttavia anche la possibilità di esser stati colpiti da attacchi rinvenienti dalla cyberwar correlata alla crisi russo-ucraina: “altro nodo sciogliere è relativo all’attribuzione dell’attacco nonché alla sua motivazione, la principale preoccupazione è quella che si possa trattare di una operazione connessa ad attori coinvolti nelle dispute cyber tra Ucraina e Russia”, sottolinea Paganini.
Articolo pubblicato il 2 maggio 2022 e aggiornato in seguito alla rivendicazione dell’attacco da parte del gruppo criminale Vice Society
