L'ANALISI TECNICA

Sanità, attacco informatico al Fatebenefratelli Sacco di Milano: sembra un ransomware

Disservizi alle strutture sanitarie e ai presidi ospedalieri dell’Asst Fatebenefratelli Sacco di Milano. Pesanti gli impatti sui pazienti per quello che potrebbe essere un attacco ransomware

02 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

I sistemi gestionali informatici degli ospedali Sacco, Fatebene, Buzzi e Macedonio Melloni di Milano sono indisponibili dalla giornata di domenica primo maggio, a causa di un attacco informatico contro l’Azienda Socio Sanitaria Territoriale Fatebenefratelli Sacco di Milano.

Il sito internet istituzionale dell’Asst risulta essere tuttora irraggiungibile.

“L’attacco di cui discutiamo è inquietante per molteplici motivi, in primis perché ad esser presi di mira ancora una volta sono i servizi di una struttura sanitaria. Purtroppo, gli eventi degli ultimi mesi hanno dimostrato quanto sia basso il livello di sicurezza di molti ospedali italiani, con drammatiche ripercussioni su pazienti”, ci dice Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Fatebenefratelli Sacco di Milano, pronto soccorso a rilento causa attacco informatico

La conseguenza dell’attacco è che i sistemi informativi degli ospedali sono in tilt, mentre il personale medico e sanitario è costretto a ricorrere a carta e penna per la registrazione di pazienti, cure e medicinali somministrati.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

I disagi per i pazienti sono stati immediati, già dalla giornata del primo maggio: il disservizio si sta protraendo anche nella giornata di oggi e si prevede anche per tutto domani 3 maggio. Evidenti ritardi, infatti, si stanno accumulando nella gestione delle emergenze del pronto soccorso e del Macedonio Melloni, nonché dell’ospedale dei bambini Buzzi.

Alla gestione affidata unicamente a carta e penna si affianca anche l’irreperibilità delle informazioni precedentemente archiviate: cure in svolgimento, medicine da somministrare o somministrate in passato e nessun accesso alle cartelle cliniche. Tutte informazioni essenziali per lo svolgimento del lavoro del personale sanitario, ora in grosse difficoltà vista l’indisponibilità.

La nostra analisi dell’attacco informatico al Fatebenefratelli Sacco di Milano

Al momento non sono apparse rivendicazioni da parte di gruppi criminali relative all’incidente contro l’Asst Fatebenefratelli Sacco di Milano. Tuttavia, stando alle note rilasciate a mezzo stampa, sembra poter essere un ransomware la causa del disastro nella struttura sanitaria.

In una nota si parla, infatti, di “cartelle cliniche criptate”, perciò indisponibili, che sappiamo essere il primo segnale comportamentale di un attacco di tipo ransomware. Nel caso venisse verificata questa ipotesi, seguirà quasi sicuramente una rivendicazione e/o un’eventuale esposizione di dati rubati durante le fasi dell’attacco.

Va detto che l’Asst Fatebenefratelli Sacco di Milano ha prontamente reagito all’attacco con segnalazione alle autorità competenti, tra le quali la Polizia Postale che sta supportando il ripristino dell’operatività. Nonostante ciò, ad ora, i tempi di risoluzione non sono definibili e sembra si debba ancora lavorare a oltranza per sistemare il danno creato, nella giornata del 2 maggio e anche tutta la giornata di domani.

“Un aspetto preoccupante dell’attacco è che le informazioni per accedere alla rete dell’ospedale siano state messe in vendita nell’underground criminale almeno da gennaio. Ciò significa che qualcuno è riuscito ad avere accesso ai sistemi della struttura ospedaliera prima di gennaio per poi rivendere tali accessi a terze parti, ovvero a coloro che poi hanno realizzato l’attacco”, ci dice ancora l’analista.

Access as a service per ransomware

L’analista fa notare, inoltre, come “il modello di Access-as-a-Service è sempre più utilizzato dai criminali informatici, soprattutto dalle varie operazioni ransomware che si riferiscono ad access broker per selezionare le proprie vittime ed avere le informazioni per accedere alle loro strutture. In questo modello gli attacchi sono rapidi ed efficaci, ed i risultati sono sotto gli occhi di tutti”.

All’ipotesi del ransomware si affianca tuttavia anche la possibilità di esser stati colpiti da attacchi rinvenienti dalla cyberwar correlata alla crisi russo-ucraina: “altro nodo sciogliere è relativo all’attribuzione dell’attacco nonché alla sua motivazione, la principale preoccupazione è quella che si possa trattare di una operazione connessa ad attori coinvolti nelle dispute cyber tra Ucraina e Russia”, sottolinea Pierluigi Paganini.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5