L’attacco informatico all’Azienda Ospedaliera Universitaria Integrata (AOUI) di Verona ha messo in luce le vere sfide che il settore sanitario italiano sta affrontando in termini di cyber sicurezza.

In questo articolo, esploreremo le dinamiche dell’attacco hacker, la risposta (seppur tardiva) delle autorità e le implicazioni per la sicurezza dei dati dei pazienti.

attacco hacker ospedale verona

I primi dettagli dell’attacco

Il 23 ottobre 2023 in tarda mattinata, l’ospedale di Verona viene colpito da un attacco informatico rivelatosi un attacco ransomware mirato a colpire i sistemi informatici dell’azienda sanitaria del Veneto. L’attacco sin da subito si dimostra complesso da arginare persino per gli informatici che hanno in gestione i sistemi dell’ospedale.

Infatti, la minaccia mostra subito i segni della sua presenza tramite alcuni effetti:

  • sospensione dei servizi online di prenotazioni e ritiro dei referti
  • blocco dei pc dell’ospedale
  • rete dati inaccessibile
  • alcune linee telefoniche interne risultano bloccate
  • le casse automatiche che consentono il pagamento delle prestazioni sono inutilizzabili.

In breve, l’intero ecosistema informatico resta paralizzato per molte ore a causa dell’attacco hacker.
La situazione risulta drammatica al punto che, la popolazione veneta viene invitata a presentarsi nei centri di prelievo e in pronto soccorso a Verona solo in caso di: reale emergenza. Questo lascia intendere molto sulla gravità di quanto è accaduto.

Le autorità rilasciano diverse dichiarazioni che vanno da:

  1. nessun dato è stato violato o trafugato
  2. lo staff IT sta lavorando per riportare la situazione alla normalità
  3. le tecnologie di backup sono state fondamentali per ripristinare l’intero patrimonio informativo della struttura.

hacker ospedale verona

Attacchi informatici agli ospedali: un problema di risorse e minimizzazione dei rischi

Al netto di quanto abbiamo letto nelle righe precedenti: l’Italia risulta essere il quarto Paese al mondo per attacchi informatici a strutture sanitarie.
Questa è la nostra premessa.

La mancanza di risorse e tecnologie di sicurezza adeguate è una delle sfide più grandi che gli ospedali italiani stanno affrontando. Inoltre, pensiamo che la tipologia di attacco hacker più dannosa e frequente per un ospedale è proprio il ransomware, il cosiddetto software malevolo che crittografa i dati, rendendoli inaccessibili fino al pagamento di un riscatto, generalmente richiesto in criptovalute.

Stato dell’ammodernamento tecnologico negli ospedali italiani

Mentre l’Italia progredisce per alcuni punti di vista nell’ammodernamento delle strutture ospedaliere, si avverte quotidianamente l’urgente bisogno di affrontare nuove e sempre più critiche vulnerabilità informatiche presenti nei dispositivi e nelle reti degli ospedali. A disposizione del personale ospedaliero spessi ci sono:

  • computer obsoleti con sistemi e software installati a bordo arcaichi;
  • budget ridotti da destinare al reparto security;
  • personale non sufficientemente formato e con esperienza sul campo;
  • mancanza di comunicazione tra i reparti;
  • e molto altro.

Inoltre, a rendere la situazione sempre più complessa ci sono le tecnologie IoT: innovative, multifunzione ma mal integrate con i sistemi informatici e perciò vulnerabili. Ad oggi, infatti, l’introduzione delle tecnologie IoT nel settore sanitario, come il controllo remoto di apparecchiature mediche, funge da vettore di attacco per i cybercriminali. Se non protetti correttamente, questi dispositivi possono rappresentare strategici punti di ingresso vulnerabili.

Gli eventi relativi all’attacco hacker all’ospedale di Verona hanno messo in luce tutta una serie di drammatiche carenze di risorse dedicate alla protezione delle strutture sanitarie: questi i motivi per cui gli ospedali sono particolarmente esposti a minacce informatiche.

Le attrattive per i cybercriminali

Gli ospedali rappresentano uno degli obiettivi principali per i cybercriminali a causa di una ricca combinazione di fattori che li rendono vulnerabili e attraenti.

Primo fra tutti, le strutture sanitarie detengono una vasta quantità di dati sensibili dei pazienti, che, se compromessi, possono essere venduti o utilizzati per attività fraudolente. Basti pensa che che secondo le ultime stime, una cartella sanitaria rivenduta può valere fino a $2.000 nel dark web.

Secondo, la necessità urgente degli ospedali di mantenere la sua operatività 24/7 significa che sono più propensi a pagare riscatti in caso di attacchi ransomware qualora queste minacce blocchino interi porzioni delle reti.

Infine, la percezione di una sicurezza informatica inadeguata nelle strutture sanitarie italiane fornisce ai cybercriminali la convinzione di poter sfruttare con successo queste vulnerabilità. In sintesi, gli attacchi agli ospedali sono visti come operazioni ad alto rendimento con un rischio relativamente basso.

Aggiornamento 10 Novembre 2023

L’Azienda Ospedaliera Universitaria Integrata di Verona è stata attaccata e c’è la richiesta di riscatto.

In seguito all’attacco all’azienda ospedaliera di Verona del 23 ottobre che aveva generato caos e disagi al servizio sanitario, a nemmeno un mese la storia si conferma un vero e proprio incubo. L’attacco hacker secondo le stime è stato condotto dal gruppo Rhysida e porta con sé una nuova e più eclatante richiesta di riscatto.

richiesta di riscatto ransomware attacco ospedale verona

Secondo le prime indiscrezioni, questa volta il gruppo di attaccanti avrebbe esfiltrato davvero una significativa quantità di dati all’azienda ospedaliera che in data 23 ottobre aveva assistito ad un vero e proprio apocalisse: il congelamento di gran parte del sistema informatico dell’azienda sanitaria. Al momento l’Azienda Ospedaliera Universitaria Integrata di Verona non ha ancora rilasciato dichiarazioni ufficiali circa la richiesta di riscatto.

Da ciò che abbiamo potuto carpire, la richiesta di riscatto ammonterebbe a 10 Bitcoin (10 BTC), l’equivalente di più di 300.000 euro secondo le quotazioni attuali. Se confermata dall’azienda stessa, questa potrebbe essere l’ennesima situazione scioccante che vede coinvolto un ospedale italiano di grande rilevanza.

Dal momento che l’azienda ospedaliera decidesse di non versare la cifra di riscatto richiesta dagli attaccanti, i membri della gang Rhysida minacciano di divulgare il materiale esfiltrato. La cybergang ha anche pubblicato alcuni documenti probatori per dimostrare l’effettiva presenza di:

  • referti di esami di laboratorio
  • esiti di esami e diagnosi di malattie metaboliche
  • alcuni file excel dei quali non conosciamo ancora la natura

rigorosamente tutto su carta intestata della Regione Veneto. Un triste bottino per il gruppo di criminali e una tragica barzelletta per i pazienti di Borgo Trento e Borgo Roma.

Cosa sappiamo del gruppo ransomware Rhysida

Il gruppo ransomware Rhysida è stato identificato per la prima volta a maggio 2023 e da allora è stato collegato a diversi episodi di attacco ransomware mirati e di rilievo, incluso un attacco all’Esercito cileno e al Prospect Medical Holdings negli Stati Uniti, impattando in totale 17 ospedali e 166 cliniche.
Dopo l’attacco, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha definito Rhysida una minaccia significativa per il settore sanitario.
Si è osservato che Rhysida presenta significative somiglianze tecniche con un altro gruppo ransomware, Vice Society, che è stato particolarmente attivo e aggressivo dal 2021, mirando soprattutto ai settori dell’educazione e della sanità​​.

Le tecniche, le tattiche e le procedure utilizzate per il dispiegamento del ransomware Rhysida includono:

  • il movimento laterale attraverso protocolli come RDP e PowerShell,
  • l’accesso alle credenziali tramite strumenti come ntdsutil.exe,
  • l’evitamento delle difese cancellando log.

Hanno anche utilizzato strumenti per il comando e controllo come SystemBC e AnyDesk per mantenere la persistenza all’interno dei sistemi infetti​.
Al momento questo è ciò che possiamo dirvi.

La tua azienda sanitaria è sotto attacco hacker? Contattaci subito.