Martedì 28 novembre, intorno alle 23, un attacco informatico ha colpito l’Azienda Usl, l’Azienda Ospedaliero-Universitaria di Modena e l’Ospedale di Sassuolo, causando gravi disagi nei servizi medici e mettendo a rischio la sicurezza dei dati sensibili dei pazienti.
L’attacco, simile a quelli verificatisi in altre aziende sanitarie, è stato identificato come di tipo ransomware, una particolare tipologia di software malevolo progettato per cifrare le informazioni sensibili delle organizzazioni colpite.
Indice degli argomenti
Aggiornamento del 13-12-2023: i dati esfiltrati
Dopo la rivendicazione pubblicamente diffusa dal gruppo criminale Hunters International, dell’11 dicembre, poche ore fa il gruppo ha iniziato la diffusione dei file che ha estratto durante l’attacco all’AUSL di Modena.
I file, pochi finora (appena 85 MB) 21 documenti, testimoniano l’effettiva esposizione di dati personali di dipendenti e pazienti, tra cui cartelle cliniche e referti di esami effettuati. Possiamo quindi ora ribadire che i totali 955 GB sono effettivamente a reale rischio di diffusione e sicuramente fuori dal controllo dell’azienda. Presto potrebbero arrivare online tutti gli altri, sempre in mancanza di pagamento del riscatto richiesto.
Aggiornamento del 06/12/2023: la richiesta di riscatto
Mentre l’azienda ospedaliera prosegue, con l’aiuto di società specializzate e della nostra Agenzia per la Cybersicurezza Nazionale (ACN), le indagini e la messa in sicurezza post attacco avvenuto ormai da oltre una settimana, CyberSecurity360 è stata in grado di verificare con grande probabilità l’identità degli attaccanti.
Quello che si sa, dopo le ultime verifiche e informazioni acquisite, è che si è trattato di un attacco di tipo ransomware compiuto, presumibilmente, dalla cyber gang nota con il nome di Hunters. Anche se tutte le verifiche portano a questa conclusione, il condizionale per ora è d’obbligo perché allo stato attuale non vi è traccia di una rivendicazione pubblica di questo attacco. Inoltre, dettagli utili all’attribuzione dell’attacco per ora non emergono neanche da eventuali comunicati stampa ufficiali.
Hunter colpisce la AUSL di Modena?
Sebbene al momento non ci sono rivendicazioni criminali pubbliche che possano certificarlo, dalle ultime analisi effettuate emerge che sia stato proprio il gruppo criminale Hunters ad attaccare l’azienda sanitaria modenese.
La richiesta di riscatto di 3 milioni di dollari è da pagare con oltre 68,4 Bitcoin (al cambio attuale).
Il wallet Bitcoin, messo a disposizione dell’AUSL di Modena dai criminali di Hunters, al momento non presenta transazioni di alcun tipo e risulta vuoto.
L’attacco alle ASL di Modena: sanità sempre a rischio
Subibto dopo l’attacco, l’azienda ospedaliera aveva riferito che il ransomware aveva immediatamente causato il blocco del sistema informatico radiologico e l’inaccessibilità di alcuni file.
Le conseguenze sono state rapide e significative, con la diffusione rallentata delle visite, l’impossibilità di prenotare esami attraverso il fascicolo elettronico e le farmacie coinvolte nel caos.
Le autorità sanitarie avevano, inoltre, dichiarato di avere attivato tutte le procedure necessarie per garantire la sicurezza delle informazioni e fermare la propagazione dell’attacco. Attualmente, un’unità di crisi è ancora al lavoro per gestire l’emergenza e proseguono le indagini per identificare l’origine dell’attacco.
Inizialmente, le ipotesi più probabili suggerivano motivazioni di carattere economico, come è solito muoversi il fenomeno del ransomware che abbiamo imparato a conoscere negli ultimi anni. Con la possibilità, appunto, che gli attaccanti abbiano richiesto un riscatto in criptovaluta per sbloccare il sistema ed evitare la diffusione pubblica di quanto rubato.
Gli impatti per i cittadini
Le attività dei centri prelievi erano state temporaneamente interrotte, riservando l’esecuzione degli esami di laboratorio solo alle urgenze ospedaliere. I servizi di emergenza sono rimasti attivi, anche se hanno continuato a lavorare utilizzando sistemi cartacei e la rete locale.
Il direttore del servizio tecnologia dell’informazione dell’azienda ospedaliera, Mario Lugli, aveva dichiarato che si stava lavorando per risolvere i problemi, sottolineando la necessità di capire chi siano gli autori dell’attacco e le loro intenzioni. Da subito, c’era il timore che il gruppo responsabile dell’attacco possedesse competenze informatiche avanzate, avendo ottenuto credenziali di alto livello.
Tuttavia, il direttore del servizio di Ingegneria clinica provinciale, Massimo Garagnani, ha cercato di rassicurare la popolazione affermando che i backup sono disponibili e che, nonostante le difficoltà, i servizi essenziali continuavano a essere garantiti, assicurando qualità invariata delle visite radiologiche, anche se con una procedura più lenta.
La catena di attacchi nelle altre ASL emiliane
In una nota inviata ai dipendenti, dalla Ausl di Bologna, si legge: “attenti alla posta elettronica“. Altra ragione che fa precludere la tipicità degli attacchi di tipo ransomware.
A leggere questo avviso si capisce che anche l’attacco a Modena è iniziato da una email malevola, non riconosciuta tale da qualche dipendente interno all’infrastruttura che ne ha dato corso, senza ignorarla, spianando così la strada agli attaccanti.
Il phishing è una delle cause scatenanti maggiormente utilizzate e di buona riuscita dell’operazione criminale, ancora oggi.
Cosa impariamo
In conclusione, l’attacco informatico che ha colpito l’azienda sanitaria a Modena sottolinea l’importanza critica della sicurezza informatica nel contesto della sanità.
Questo evento mette in evidenza la necessità di implementare misure di difesa avanzate per proteggere i dati sensibili dei pazienti e garantire la continuità dei servizi medici.
La rapidità con cui l’azienda ha risposto all’attacco è un promemoria dell’urgenza nel rafforzare le difese cibernetiche e investire in soluzioni tecnologiche robuste.
Inoltre, la vicenda evidenzia la crescente minaccia degli attacchi ransomware nel panorama sanitario, richiedendo una costante vigilanza e azioni preventive per prevenire futuri episodi simili.
Articolo originariamente pubblicato il 30 Nov 2023
