Attacco ransomware a SYNLAB: dati sanitari a rischio

SYNLAB Italia colpita da ransomware: 1,5 TB di dati sanitari esfiltrati. Ecco cosa è successo e le contromisure adottate dopo l’attacco.

Il settore sanitario è tra i più colpiti dagli attacchi informatici. Secondo l’Agenzia per la Cybersicurezza Nazionale (ACN), dal 2023 si registrano in media 3,5 attacchi al mese contro strutture sanitarie italiane e circa uno su due evolve in un incidente con impatti. Quando un attacco va a segno, può paralizzare i servizi e portare all’esfiltrazione di enormi quantità di dati sensibili, monetizzabili sul dark web o utilizzabili per campagne di estorsione.

BlackBasta e l’attacco ransomware a SYNLAB
Le misure adottate da SYNLAB dopo l’attacco
Prevenire un attacco ransomware: lezioni dal caso SYNLAB

Tra i casi più recenti in Italia spicca l’attacco ransomware condotto ai danni di SYNLAB Italia, azienda leader nella diagnostica medica, che nel 2024 ha causato l’interruzione dei sistemi e la sospensione di numerosi servizi su scala nazionale.

In questo articolo analizzeremo la dinamica dell’incidente, l’impatto sulle attività di SYNLAB e sui clienti, e le misure di difesa che possono prevenire eventi simili in futuro.

BlackBasta e l’attacco ransomware a SYNLAB

L’attacco a SYNLAB Italia è stato rivendicato dal gruppo BlackBasta, una cybergang nota per colpire aziende in tutto il mondo. L’intrusione risale al 18 aprile 2024, ma alla data di pubblicazione di questo articolo non sono ancora emersi dettagli certi sul vettore iniziale. Tuttavia, in base alle tecniche comunemente usate da BlackBasta, i possibili scenari includono:

Abuso di credenziali su accessi remoti aziendali (VPN/RDP) privi di autenticazione multifattore;
Phishing mirato con installazione di strumenti di controllo remoto;
Sfruttamento di vulnerabilità su servizi esposti.

Un elemento certo è che gli attaccanti hanno esfiltrato circa 1,5 TB di dati sensibili dai server di SYNLAB Italia, pubblicandoli poi sul loro portale Tor. Tra quelli accertati si citano:

Dati anagrafici di pazienti e dipendenti;
Analisi mediche e referti;
Cartelle cliniche.

La rivendicazione dell’attacco è arrivata il 5 maggio 2024, attraverso una richiesta di riscatto rivolta a SYNLAB e la ben nota tattica della doppia estorsione. Dopo il mancato pagamento, BlackBasta ha pubblicato parte dei file sul proprio Data Leak Site (DLS) tra l’11 e il 14 maggio 2024. In una nota, il gruppo ha erroneamente attribuito l’attacco alla sede tedesca di SYNLAB. Tuttavia, i file pubblicati sono in lingua italiana, confermando che il bersaglio era la divisione italiana dell’azienda.

Le misure adottate da SYNLAB dopo l’attacco

Dopo aver rilevato l’attacco, SYNLAB Italia ha dichiarato di essere intervenuta tempestivamente, adottando misure precauzionali secondo i propri protocolli interni di sicurezza. In particolare, l’azienda ha isolato tutti i sistemi IT dalla rete e spento i propri dispositivi, al fine di contenere la propagazione della minaccia. In più, è stata istituita una task force specializzata, composta da esperti di cybersecurity interni ed esterni, con l’obiettivo di mitigare gli impatti e ripristinare i servizi nel più breve tempo possibile.

Tra gli interventi più rilevanti, si citano:

Interruzione di servizi critici (e-mail, VPN, collegamenti di rete con terze parti);
Isolamento del ransomware sugli assets infetti;
Verifica del funzionamento di tutti i server;
Controllo e ripristino dei backup validati;
Aggiornamento delle regole dei firewall aziendali.

SYNLAB ha riferito che il ransomware è stato confinato in postazioni isolate ad uso esclusivo del team IT, dove viene attualmente analizato. I sistemi colpiti includono host di virtualizzazione VMware ESXi e server collegati, mentre gli assets non interessati sono stati riattivati solo dopo una serie di operazioni preventive, quali:

Certificazione da parte di fornitori esterni;
Conferma dell’efficacia del software anti-malware;
Verifica da parte del SOC (Security Operations Center).

Prevenire un attacco ransomware: lezioni dal caso SYNLAB

Nonostante le contromisure adottate da SYNLAB, l’attacco del gruppo BlackBasta ha comunque vausato gravi disservizi e compromesso dati sensibili, con ricadute dirette su pazienti e operatori. Per questo motivo, la difesa più efficace contro i ransomware resta la prevenzione. Di seguito le principali linee guida per ridurre il rischio di attacchi ransomware:

Non aprire email di mittenti sconosciuti o sospetti.
I ransomware si diffondono spesso tramite allegati o link malevoli. In caso di dubbio, non aprire il messaggio e segnalarlo al reparto IT o al provider di posta.
Eseguire regolarmente il backup dei dati più importanti.
Mantenere copie aggiornate consente di ripristinare i file in caso di attacco, evitando gravi interruzioni operative.
Aggiornare sistema operativo e software.
Le patch di sicurezza chiudono vulnerabilità note, spesso sfruttate dai cybercriminali per installare malware e ransomware all’interno delle reti aziendali.
Abilitare la visualizzazione delle estensioni dei file su Windows.
Questa aiuta a individuare file sospetti, potendo leggere la loro l’estensione reale e discernere quelli innocui, da quelli malevoli.
Disattivare l’autorun dei dispositivi USB.
Le chiavette USB e altri supporti rimovibili possono veicolare malware. Disabilitando l’esecuzione automatica, si riduce il rischio di infezione.

In conclusione

La vicenda di SYNLAB conferma ulteriormente quanto il settore sanitario italiano sia particolarmente esposto agli attacchi dei collettivi ransomware. I cybercriminali puntano a questo settore perché la sua combinazione di dati altamente sensibili e infrastrutture non più al passo coi tempi, lo rendono più vulnerabile di quanto non possa sembrare.

Alla base c’è ancora una scarsissima preparazione sul fronte della sicurezza informatica, specie tra il personale non tecnico. Sebbene negli ultimi anni molti enti abbiano avviato investimenti in cybersecurity, le difese e le contromisure sono ancora troppo fragili rispetto alla portata delle minacce attuali. Ecco perché si chiede ulteriormente un cambio di passo, al fine di scongiurare un’impatto irreversibile degli attacchi informatici contro le nostre strutture sanitarie.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.