Lo scorso 1 Maggio 2022, un attacco hacker ha colpito l’ospedale Sacco di Milano.
L’aggressione cibernetica ha avuto inizio intorno alle 15:00, ed è stata e rivendicata più di un mese dopo dalla cybergang Vice Society.
L’obiettivo è sempre il medesimo: chiedere una contropartita in denaro per non diffondere sul web i dati sensibili rubati.
Ma come si è sviluppato l’attacco ransomware ai danni del Fatebenefratelli-Sacco di Milano?
In questo articolo ci occuperemo di analizzare l’accaduto e le conseguenze del furto di dati sensibili ai danni dell’Ente ospedaliero.
- Attacco hacker all’ospedale Sacco di Milano: cosa è successo?
- Attacco hacker all’ospedale Sacco di Milano: la rivendicazione di Vice Society
- Com’è stata affrontata l’emergenza
- Considerazioni conclusive sugli attacchi ad aziende ospedaliere e servizi sanitari
Attacco hacker all’ospedale Sacco di Milano: cosa è successo?
L’attacco hacker rivolto all’ospedale Sacco ha causato notevoli ripercussioni negative su tutte le sedi aziendali collegate, travolgendo i circa 500 server dell’infrastruttura IT.
Per farsi un’idea sulla portata dell’evento, basterà elencare tutti i presidi ospedalieri coinvolti.
L’ASST (Azienda Socio Sanitaria Territoriale) Sacco di Milano comprende, infatti:
- Ospedale Luigi Sacco
- Fatebenefratelli e Oftalmico
- presidio ospedaliero Macedonio Melloni
- Ospedale dei Bambini Vittore Buzzi
- oltre a nove consultori familiari e un SERT
Come evidenziato in apertura, l’aggressione cibernetica ha avuto inizio alle ore 15 del 1 maggio 2022.
Da quel momento sono stati resi inaccessibili:
- sito e piattaforme gestionali interne, così come i portali di prenotazione online
- cartelle cliniche e dati sensibili di pazienti e dipendenti, nonché documenti fiscali e decisionali
Il personale, quindi, ha dovuto necessariamente lavorare senza poter accedere alle cartelle cliniche dei pazienti archiviate nel sistema, poiché tutti i relativi dati risultavano crittografati.
Disagi anche ai reparti di Pronto Soccorso e i Punti Prelievo dei presidi ospedalieri.
Ci sono voluti diversi giorni affinché, grazie all’intervento di consulenti esperti in sicurezza informatica, i Cup e gli altri sportelli aperti al pubblico riprendessero a funzionare in tutti e quattro presidi. Al contrario, la posta elettronica interna è stato l’ultimo tassello ripristinato in quanto potenziale veicolo di infezione.
L’azienda sociosanitaria ha denunciato l’accaduto alle Autorità competenti, tra cui Polizia Postale e Procura della Repubblica, la quale ha aperto un fascicolo per “accesso abusivo ai sistemi informatici e distruzione di dati”.
Attacco hacker all’ospedale Sacco di Milano: la rivendicazione di Vice Society
Inizialmente, l’attacco all’Ospedale Sacco era stato classificato come ransomware per via dei file e delle cartelle cliniche criptate e rese inaccessibili.
Tuttavia, in un primo momento, non si era avuta notizia di alcuna rivendicazione da parte di gruppi criminali specifici. Il che faceva sospettare che si sarebbe potuto trattare di un evento collaterale al conflitto russo-ucraino, scoppiato solo pochi mesi prima.
L’attacco è stato rivendicato soltanto in un secondo momento, ovvero a fine Giugno 2022, dal gruppo hacker russo Vice Society.
Questo ha permesso di accertarne la natura di ransomware, nonché di far venire a galla alcuni dettagli inquietanti relativi all’episodio.
L’aspetto più allarmante, infatti, fu determinato dalla scoperta che le informazioni di accesso alla rete ospedaliera erano state messe in vendita sul dark web già a inizio Gennaio 2022.
Si sarebbe trattato, dunque, di uno schema di compravendita noto come Access-as-a-Service, la cui figura-chiave è quella dell’Initial Access Broker, specializzata nell’esfiltrazione e nella rivendita di credenziali.
Com’è stata affrontata l’emergenza
In una nota diffusa qualche tempo dopo dalla Direzione Sanitaria, si apprende che erano state attivate “le procedure di emergenza per limitare al minimo i disservizi per l’utenza”.
Questo comprendeva l’avvio di attività tecniche di analisi per determinare con certezza
- il raggio d’azione della minaccia
- i sistemi resi effettivamente indisponibili
allo scopo di definire una strategia di ripristino che agisse nel minor tempo possibile.
Dalle analisi emerse che l’attacco aveva riguardato l’infrastruttura applicativa, che aveva reso indisponibili i sistemi agli utilizzatori, ma non si era estesa alle principali banche-dati aziendali.
Nell’atto pratico, una volta individuata tipologia e vastità dell’attacco, è stata avviata la procedura di progressivo ripristino dei servizi, le quali hanno comportato:
- la reinstallazione completa degli ambienti di gestione applicativa
- il progressivo recupero dei servizi dalle copie di backup, che l’Azienda aveva opportunamente archiviato su supporti dedicati e non intaccati dal ransomware
Nella nota, la Direzione concludeva asserendo che l’infrastruttura applicativa era stata ripristinata il giorno stesso dell’attacco e che i danni erano stati mitigati dalle azioni che l’ASST aveva e avrebbe continuato a mettere in atto per innalzare il livello di sicurezza dei servizi.
Il che avrebbe comportato l’implementazione di tecnologie specifiche e procedure di backup e disaster recovery plan adeguate.
Considerazioni conclusive sugli attacchi ad aziende ospedaliere e servizi sanitari
L’attacco all’Ospedale Sacco, così come episodi analoghi come l’aggressione all’Asp di Messina di cui abbiamo parlato qualche tempo fa, dimostrano essenzialmente due tesi:
- ormai hacker e criminali informatici sono diventati sempre più spietati
- gli effetti di un attacco informatico hanno dirette conseguenze anche nel mondo reale, rischiando di mettere a repentaglio anche la vita umana
Ma perché tutto questo accanimento contro aziende ospedaliere e presidi sanitari?
Semplice: sono custodi di dati altamente sensibili, quindi potenzialmente disposte a pagare qualsiasi somma di riscatto affinché questi non vengano compromessi o diffusi.
In aggiunta, la sempre più marcata digitalizzazione, rende il settore altamente dipendente dai sistemi informatici. Il che spesso costringe a cedere ai ricatti pur di riottenere funzionalità e i servizi altamente indispensabili.
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.