Discussione Articolo ULSS6 Euganea di Padova hackerata a Dicembre 2021 sono stati pubblicati online i dati dei pazienti

[Max Fridman]

Quasi nessun quotidiano nazionale ne ha parlato, come sempre accade quando si parla di sicurezza informatica. Ma questa notizia merita di essere resa nota: 2 giorni fa il gruppo "cybergang LockBit 2.0" ha rilasciato online tutti i dati esfiltrati dall'ULSS6 Euganea di Padova.

Tra il giorno 2 e 3 Dicembre 2021 è avvenuto un attacco informatico ransomware che ha coinvolto l'azienda sanitaria locale veneta. Che ha tenuto offline i sistemi informatici fino al 12 Dicembre 2021.

Bloccando non solo le operazioni per i tamponi, le vaccinazioni ma anche i call center, l'accesso a tutte le cartelle cliniche, gli sportelli del CUP, le ricette dematerializzate. Ma anche i laboratori di analisi, le commissioni patenti e invalidi e l'anagrafe dello Spisal.

Oltre 10 giorni per sistemare il danno. E infine la beffa, nessuno era sicuro che fossero stati realmente esfiltrati dei dati e per questo le richieste di "riscatto" sono state ignorate. Ora i dati sono stati pubblicati e analizzati.

"Da una prima analisi, effettuata da tecnici specializzati, è emerso che le informazioni copiate e pubblicate dai malviventi sono per lo più documenti di carattere amministrativo e gestionale, come procedure, verbali, regolamenti e disposizioni interne. Nel corso del controllo sono emersi anche file con dati personali e sanitari. Le cartelle pubblicate riguardano la singola struttura ospedaliera di Schiavonia."

Citiamo dal comunicato stampa della ULSS6 del 16 Gennaio 2022

Quindi non solo nomi e cognomi ma anche esami e prestazioni subite e relativa data di esecuzione. Non è possibile sapere se sono stati esfiltrati altri dati. Come al solito in Italia il fatto passa totalmente in sordina e senza alcuna presa di responsabilità da parte delle istituzioni. E' stato attivato un call center per informare i pazienti coinvolti nel leak, tutto qua.

Ovviamente, tutto questo lascia con l'amaro in bocca. Chissà se qualcuno si occuperà di investire in sicurezza informatica, assumere personale specializzato e formare i dipendenti per evitare certe problematiche in futuro. Noi speriamo di si, ma siamo rassegnati sul fatto che rimarrà solo una speranza.

Fonti:

• Attacco hacker Ulss 6 Euganea, pubblicati finora oltre 9.300 documenti: ci sono anche referti medici (Padova Oggi)
• Padova, attacco hacker alla sanità: in rete le prime cartelle cliniche (Il Corriere)

 

[Utente cancellato 281804]

Ciao,
mi ha molto colpito questa notizia (vivo vicino a Padova e conosco delle persone che lavorano/si curano all'ulss16): ne avevo letto su giornali ma con notizie vaghe e poco credibili (hacker colpiscono l'ospedale, pirati informatici paralizzano..., cose del genere).
In realtà secondo voi cosa è successo? Ricordo un nostro cliente che era stato "colpito da pirati informatici": a metà mattinata si è disconnesso mentre lavoravamo (sono stati i nostri sistemisti, che hanno bloccato tutte le connessioni con lui appena avuto sentore di qualche cosa). Non riuscivamo a connetterci, non pingavamo, le email tornavano indietro e rispondevano solo ai cellulari (i fissi erano come staccati). Magazzino bloccato, produzione sospesa a metà giornata. Ci hanno detto di essere stati attaccati da "hacker dei paesi dell'est". Db del gestionale e delle mail criptati, con riscatto.
Settimane dopo abbiamo saputo che un loro direttore era ricattato con delle foto osè da degli "hacker dei paesi dell'est", a cui aveva aperto una sessione di anydesk sul server di produzione

Non so come sia finita, oggi funziona tutto (e io non mi sono fatto coinvolgere nel casino). Penso avessero dei backup e dei soldi per reinstallare tutto.

In questo caso da quanto ho capito la cosa sembra diversa: in qualsiasi modo siano riusciti ad entrare nei sistemi (immagino in qualche server, se si è bloccato tutto), dopo hanno copiato dei dati (db? cartelle di grandi dimensioni? come facevano a sapere i percorsi in cui cercare?), e poi hanno lanciato un ransomware per bloccare il sistema. Infine (e questa cosa non la capisco) hanno detto in pubblico di averlo fatto, minacciando di dare in giro quello che avevano trovato. Capisco la logica economica dell'estorsione (anche se uno ripristina i backup è minacciato comunque), ma come si fa a fare un'estorsione "pubblica"?
Cioè, se tanta gente sa che ti stanno estorcendo non ha più senso pagare (oppure sì?)

 

[0xbro]

Infine (e questa cosa non la capisco) hanno detto in pubblico di averlo fatto, minacciando di dare in giro quello che avevano trovato. Capisco la logica economica dell'estorsione (anche se uno ripristina i backup è minacciato comunque), ma come si fa a fare un'estorsione "pubblica"?
Cioè, se tanta gente sa che ti stanno estorcendo non ha più senso pagare (oppure sì?)

Ha senso, per due motivi: il primo è che tu azienda devi impegnarti a tenere al sicuro i dati privati (e soprattutto i dati sensibili) dei tuoi clienti. Un ricatto così, pubblico, attira molta attenzione mediatica e mette molta più pressione all'azienda (soprattutto se era già stato richiesto in maniera privata ma era stato rifiutato). In secondo luogo, eventi del genere rovinano la reputazione "economica" dell'azienda (investitori, sponsor, partner, ecc.) esercitando così anche una pressione dal punto di vista del business e non solo dell'opinione pubblica.

In questo caso da quanto ho capito la cosa sembra diversa: in qualsiasi modo siano riusciti ad entrare nei sistemi (immagino in qualche server, se si è bloccato tutto), dopo hanno copiato dei dati (db? cartelle di grandi dimensioni? come facevano a sapere i percorsi in cui cercare?), e poi hanno lanciato un ransomware per bloccare il sistema.

Credo che gli attaccanti abbiano fatto prima un'attività di ricerca manuale dei dati, ma non escludo che possano aver copiato in massa l'intero file-system (o per lo meno la directory "Utente")

 

[Utente cancellato 281804]

Un ricatto così, pubblico, attira molta attenzione mediatica e mette molta più pressione all'azienda (soprattutto se era già stato richiesto in maniera privata ma era stato rifiutato).

Non avevo pensato che ci potesse essere stata una "richiesta privata" prima di quella pubblica. Allora ha senso renderla pubblica: anzi molto senso. Magari in azienda gli unici a sapere dell'estorsione era stato qualche sistemista e forse qualche grande amministrativo, agli altri si può raccontare balle per un certo periodo (un problema con l'aggiornamento del server, è colpa del fornitore della dfvn, ecc..). Intanto si sistema lavorando fino a notte fonda.
Però se la cosa diventa pubblica la sanno altri informatici che capiscono cos'è successo.

Credo che gli attaccanti abbiano fatto prima un'attività di ricerca manuale dei dati, ma non escludo che possano aver copiato in massa l'intero file-system (o per lo meno la directory "Utente")

Che cosa da pazzi: quando mi devo collegare ad un sistema per fare qualche cosa (lavoro ) e non so dove andare a cercarla mi viene l'ansia di non riuscire o che mi rubino la sessione. E dici che abbiano trovato tanti dati in una directory User? In genere ci sono solo i dati di uno specifico utente: se i dati sono tanti sarà stata un'unità di rete. Oppure usavano un'utente per archiviare i documenti medici!

 

[0xbro]

Che cosa da pazzi: quando mi devo collegare ad un sistema per fare qualche cosa (lavoro ) e non so dove andare a cercarla mi viene l'ansia di non riuscire o che mi rubino la sessione. E dici che abbiano trovato tanti dati in una directory User? In genere ci sono solo i dati di uno specifico utente: se i dati sono tanti sarà stata un'unità di rete. Oppure usavano un'utente per archiviare i documenti medici!

Beh considera che la maggior parte delle volte un Ransomware non colpisce mai un solo pc/server ma si propaga all'interno della rete autonomamente. Ogni persona inoltre lavora praticamente sempre su Desktop/Documenti, che sono sempre sotto la cartella User, per cui se gli attaccanti sono riusciti a penetrare nella rete è probabile che abbiano scaricato tutte le directory utente di tutti i computer o server bucati, e quindi che abbiano avuto accesso a email, documenti riservati, documenti in lavorazione, magari anche password e utenze.