attacco asp messina

Il 15 aprile del 2022 l’Azienda Sanitaria Provinciale di Messina subisce un attacco hacker rivendicato dal collettivo LockBit 2.0.

Anche in questo caso, come in molti altri, i dati trafugati sono estremamente delicati in quanto il contenuto, poi diffuso sul dark web il 29 aprile, comprende

  • circolari
  • documenti personali

e

  • dati di natura sanitaria di pazienti di vari reparti dell’ospedale.

A rendere noto l’attacco hacker subìto è stata proprio la stessa Azienda Sanitaria Provinciale di Messina attraverso una nota diffusa a mezzo stampa.
I vertici dell’Asp hanno comunicato tempestivamente che

«il sistema informatico dell’azienda è stato attaccato da hacker e questo potrebbe causare problemi sia per i servizi interni che per servizi esterni.
I tecnici si sono messi subito al lavoro per risolvere la questione che tuttavia potrebbe protrarsi per alcuni giorni.
L’Asp si scusa per eventuali disagi con i cittadini e assicura che quando il sistema verrà ripristinato ne sarà data immediata comunicazione».

  • Come è avvenuto in concreto l’attacco hacker da parte del gruppo hacker LockBit 2.0.?
  • Di che tipo di attacco informatico si è trattato?

e

  • Quali sono state le conseguenze e come ha risposto l’Azienda Sanitaria Provinciale di Messina?

In questo articolo ricostruiremo l’attacco informatico ai danni dell’Asp di Messina e cercheremo di capire la portata del cyber attack stesso.

Sommario degli argomenti

Ricostruzione dell’attacco hacker e rivendicazione da parte del gruppo hacker

Il 15 aprile scorso è stato segnalato dal centro elaborazione dati dell’ASP di Messina il malfunzionamento di alcuni server aziendali a seguito di un attacco informatico compiuto da gruppo hacker autore della sottrazione di dati sensibili di medici e pazienti.

Dalle verifiche effettuate dai tecnici specializzati è emerso che tali server risultavano compromessi da un virus informatico di tipo ransomware, installato da hacker che avevano criptato file rendendoli inutilizzabili, riuscendo a superare le misure di sicurezza presenti nei sistemi.

L’attacco ha interessato svariati computer dell’azienda socio sanitaria creando malfunzionamenti e difficoltà sia nell’accesso che nell’utilizzo dei servizi connessi. 

Il cyber attack è stato rivendicato in data 21 aprile dal gruppo Lockbit 2.0, il quale ha pubblicato un avviso sul suo data leak site dichiarando che in data 29 aprile avrebbe pubblicato i dati sottratti all’Asp di Messina. L’unico modo per evitare la diffusione dei dati sensibili sarebbe stato il pagamento di un riscatto fissato in 560mila dollari in BitCoin. 

Da verifiche tecniche successive si è appreso che l’attacco informatico è riuscito ad estrapolare ben 27mila cartelle contenenti dati personali di medici e informazioni sanitarie riservate sulle patologie e terapie dei pazienti. Un attacco, quello all’Asp di Messina, strategico in quanto il bacino di utenza è di circa 645mila cittadini dislocati in 108 differenti comuni della Sicilia. 

 Il gruppo criminale, come è consuetudine, ha concesso sette giorni di tempo per poter ottemperare alla richiesta di riscatto impartita alla vittima dell’attacco ransomware, pena la diffusione di quanto sottratto illegalmente. 

L’Asp di Messina, in qualità di titolare del trattamento dati, ha proceduto a notificare l’evento alla Polizia Postale e all’Autorità Garante per la protezione dei dati personali il 20 aprile scorso, ai sensi dell’art. 33 del Regolamento Generale sulla protezione dei dati personali, nonché alla tempestiva bonifica dei sistemi compromessi.

Nel contempo sono state intensificate le misure di sicurezza informatica per non incappare in un ulteriore infezione. Nonostante l’attivazione delle procedure in risposta all’attacco hacker, i dati sottratti illegalmente sono stati pubblicati dagli stessi responsabili dell’azione.

Come ha colpito il gruppo Lockbit 2.0

Attacchi di tipo ransomware come quello che ha colpito l’Asp di Messina spesso sono causati da una scarsa manutenzione del sistema informatico.

Ciò comporta un grave rischio per l’intera infrastruttura: sia per i dispositivi, per i software e a maggior ragione, per i dati.
Esperti in cybersecurity hanno mostrato come, nel caso specifico, il sito web dell’Asp di Messina, creato con il CMS WordPress, fosse vulnerabile ad attacchi hacker tra cui quello di Lockbit.

Per scoprirlo è bastato effettuare un Vulnerability Assessment (purtroppo solo dopo aver subito l’attacco), il quale ha subito mostrato come la versione del CMS utilizzata fosse obsoleta. Oltre alla versione non aggiornata del CMS sono emerse falle di sicurezza anche su alcuni plugin installati sul sito web, esponendo così il server ad ulteriori rischi.

CMS e plugin vulnerabili hanno così agevolato la strada agli hacker, i quali hanno sfruttato queste debolezze per sferrare un attacco informatico.

Tramite infiltrazioni di tipo ransomware gli hacker sono riusciti a copiare e criptare i dati sensibili poi diffusi a seguito del mancato pagamento del riscatto richiesto all’Asp di Messina. 

L’attacco sferrato dalla cybergang aveva il preciso obiettivo di cifrare i dati e renderli indisponibili ai sistemi.
Una volta cifrati i dati, gli hacker hanno richiesto alla vittima il pagamento di un riscatto per poter restituire una chiave di decifrazione con la quale sbloccare il contenuto.

Quali sono state le conseguenze dell’attacco hacker

LockBit, una volta spirata la deadline per pagare il riscatto richiesto all’Asp di Messina ha pubblicato i dati sottratti illegalmente sul suo data-leak-site.

Quali sono le tipologie di dati pubblicati in seguito all’attacco dell’Asp Messina?

Sono state ritrovate password in formato TXT di e-mail nonché la chiave di accesso di un account utilizzato per entrare nell’area dedicata alle malattie rare dell’ASP Messina. Furono diffuse anche informazioni sanitarie dei pazienti e anche dati personali come

  • numeri di telefono
  • codici fiscali
  • indirizzi fisici

e

  • indirizzi email di medici e personale sanitario.

Il settore sanitario preso di mira dagli hacker

Ospedali, laboratori, centri medici sono sempre più spesso nel mirino di gruppi hacker.

Il settore sanitario, infatti, è uno dei settori più appetibile soprattutto per coloro che intendono sferrare attacchi di tipo ransomware.

Come mai gli hacker prediligono attaccare le strutture sanitarie?

Perdere informazioni e non poter accedere alle cartelle cliniche e ai dati dei pazienti possono creare conseguenze devastanti: sia per la salute che per la protezione dei dati personali e sanitari del personale e dei pazienti stessi.
Inoltre, ospedali, cliniche e laboratori di analisi non possono restare inattivi perché il rischio maggiore è di non riuscire a tutelare la salute dei pazienti senza la possibilità di accedere alle cartelle cliniche.

I black hat hacker consci di questa situazione, approfittano in tutti i modi per sferrare attacchi informatici proprio a strutture sanitarie facendo leva sull’importanza cruciale dei dati sottratti per forzare il pagamento di un alto riscatto. 

La cybersecurity, quindi, nel settore sanitario ricopre un ruolo fondamentale visto che i cyber attack sono in grado di minacciare sia la sicurezza di sistemi e informazioni sia la salute e la sicurezza dei pazienti.

Per tutelare le proprie infrastrutture informatiche cosa dovrebbero, quindi, fare le aziende ospedaliere?

È importante ridurre al minimo le vulnerabilità dei propri sistemi e dotarsi di una strategia in primis preveniva.
Prevenire, quindi, e cercare di anticipare le mosse degli hacker sono due aspetti fondamentali da curare.

In che modo?

Affidandosi a team esperti di cybersecurity che siano in grado di prevenire attacchi usando ad esempio la threat intelligence e tecniche per controllare periodicamente le strutture informatiche.

Importante anche investire sulla formazione dei dipendenti della struttura sanitaria per imparare a riconoscere email e messaggi sospetti.

Inoltre, potrebbe essere opportuno iniziare ad utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche nonché mantenere il sistema operativo sempre aggiornato con le patch più recenti e il sistema antivirus attivo per poter eseguire la scansione di tutti i file presenti sui pc ed individuare eventuali elementi infetti.

Conclusioni

Le conseguenze di un attacco di tipo ransomware possono essere devastanti sia per un’azienda sanitaria che per qualsiasi Ente pubblico o privato.

Il ripristino dei dati, infatti, può comportare un procedimento lungo e laborioso con la necessità di affidarsi a personale altamente specializzato per un recupero dei dati stessi.

È fondamentale, in ogni caso, adottare a monte misure di sicurezza preventive per proteggere le proprie infrastrutture informatiche da possibile attacchi di tipo ransomware.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica.
Il nostro red team è composto da hacker etici e specialisti in cybersecurity da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sedi operative a Porto Mantovano, mentre il cuore del nostro reparto ricerca e sviluppo è sito a Londra.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!