Dopo settimane di passione per l’azienda Synlab Italia, ma soprattutto per i suoi clienti, è giunta la rivendicazione dell’attacco da parte di una nota gang cyber criminale nota come Blackbasta. Dal 18 aprile, Synlab Italia, uno dei principali fornitori di servizi di diagnosi medica, si sta confrontando con interruzioni di alcuni dei suoi servizi a causa di un attacco informatico.
Ad aprile, un attacco informatico ha severamente impattato le operazioni di Synlab Italia. Inizialmente l’azienda aveva imputato i disservizi a a problemi tecnici, tuttavia, ben presto è emerso un quadro allarmante. In uno dei primi comunicati, l’azienda ha informato i clienti di aver in via precauzionale “disattivato” tutti i sistemi informatici aziendali in Italia.
Gli effetti della decisione si sono protratti per diversi giorni con importanti disagi per i pazienti. Alcuni di essi hanno pubblicamente denunciato l’impossibilità di ricevere i risultati degli esami diagnostici a cui si erano sottoposti nei giorni precedenti all’attacco. L’azienda lato suo ha immediatamente lanciato una investigazione sull’incidente e con il supporto di esperti esterni sta cercando di contenere l’incidente. Synlab ha poi attivato canali di comunicazione diretti per supportare i clienti bisognosi di supporto e con richieste da evadere con urgenza. Va detto inoltre che Synlab Italia, attraverso il suo sito, ha aggiornato costantemente i clienti.
Nell’ultimo aggiornamento dei giorni scorsi, l’azienda ha informato la clientela che le attività nei Punti Prelievo e Medical Center SYNLAB stanno progressivamente riprendendo secondo un calendario differente regione per regione.
Alcuni passaggi del comunicato che riporto di seguito avevano immediatamente destato preoccupazione tra gli esperti di cyber sicurezza come me: “SYNLAB informa tutti i Pazienti e i Clienti di aver subito un attacco hacker ai propri sistemi informatici su tutto il territorio nazionale. In via precauzionale, appena identificato l’attacco e secondo le procedure aziendali di sicurezza informatica, tutti i sistemi informatici aziendali in Italia sono stati immediatamente disattivati”. E ancora: SynLab “non è in grado attualmente di stabilire quando l’operatività potrà essere ripristinata”.
Nel mio precedente articolo evidenzio come “la necessità dell’azienda di dover isolare i sistemi per evitare la propagazione di una minaccia e mitigare l’impatto dell’attacco” potesse essere associata ad una attività di contenimento di una minaccia come un malware (codice malevolo). L’indisponibilità prolungata dei servizi suggeriva con il passar del tempo un’infezione da ransomware. A oggi, SynLab non ha ancora fornito dettagli sull’attacco, come l’eventuale violazione dei dati, la tipologia di minaccia che ha colpito i suoi sistemi, e soprattutto non ha mai menzionato nei suoi aggiornamenti di essere stata vittima di un attacco ransomware.
In questi casi, le priorità per le vittime di un attacco sono ripristinare le operazioni e determinare se vi sia stata esfiltrazione dei dati. Per le aziende che operano nel settore sanitario, è cruciale qualificare anche la tipologia di informazioni eventualmente esfiltrate e che potrebbero essere divulgate. Qualora si tratti informazioni sanitarie si configurerebbe un rischio concreto per la privacy e la sicurezza dei clienti interessati.
Mentre l’azienda continua a gestire l’incidente, il gruppo di ricercatori italiani della piattaforma Ransomfeed.it hanno rivelato che il gruppo criminale Blackbasta ha rivendicato la responsabilità dell’attacco a Synlab. Se confermata la rivendicazione, si sarebbe quindi trattato di un attacco ransomware come ipotizzato. Il gruppo ha dichiarato di aver rubato ben 1,5 TB di dati, tra cui dati aziendali, documenti personali dei dipendenti, dati personali dei clienti, analisi mediche (e.g. spermiogrammi, esami tossicologici), e altro ancora.
Come prova della violazione dei dati, il gruppo ha pubblicato sul suo sito nel dark web una serie immagini relative ai documenti rubati, come passaporti, carte d’identità e analisi mediche. Una delle immagini pubblicate dal gruppo riporta una serie di cartelle esfiltrate durante l’attacco, alcune delle quali hanno nomi di esami medici.
Interessante notare che alcune delle cartelle hanno i nomi dei centri situati nella regione Campania, anche se l’attacco ha colpito i punti di prelievo in tutta Italia. Tale circostanza suggerisce che le cartelle possano essere relative a qualche server utilizzato da uno dei punti di prelievo della Regione Campania che potrebbe essere stato il punto di ingresso degli attaccanti. Il condizionale è d’obbligo perché dovremmo avere la possibilità di analizzare i sistemi colpiti per determinare quanto accaduto.
Il gruppo BlackBasta ha annunciato che pubblicherà i dati rubati l’11 maggio 2024, fornendo quindi non oltre una settimana di tempo alla vittima per un’eventuale negoziazione. Dopo tale data i dati dei dipendenti e dei clienti saranno pubblicamente rilasciati dal gruppo suo tuo sito web. Altri gruppi criminali potrebbero utilizzare questi dati per ricattare le persone impattate o cercare di condurre qualche tipologia di frode ai loro danni. La disponibilità di documenti come passaporti e carte di identità, associate ad altre informazioni potrebbe mettere a rischio di furto di identità gli utenti coinvolti.
Chi è il gruppo Blackbasta? Black Basta è un gruppo dedito all’attività estorsiva attivo dall’aprile 2022. Come altre operazioni ransomware, il gruppo implementa un modello a doppia estorsione, ovvero ruba dati alle vittime e cifra i sistemi colpiti per poi chiedere un riscatto che se non pagato porterà alla pubblicazione delle informazioni rubate. Nel novembre 2022, i ricercatori di Sentinel Labs hanno segnalato di aver trovato prove che collegano il gruppo ransomware Black Basta ad un noto gruppo di hacker finanziariamente motivato e conosciuto come FIN7.
Ritornando al caso SynLab, non possiamo far altro che attendere i prossimi 7 giorni sino alla scadenza dell’ultimatum di Blackbasta.
Fonte : Repubblica