Dettagli su attacco ASL Napoli 3 Sud

Siamo adesso tutti in grado di classificare i post riguardo questo argomento, sotto la voce ransomware. Infatti nelle ultime ore, quello che sembrava un attacco vandalico o un “sinistro” come veniva definito dalla dirigenza sanitaria, ha tutte le carte in regola per essere l’ennesimo attacco ransomware verso struttura pubblica e soprattutto strategica in quanto sanitaria.

C’è infatti la rivendicazione dell’attacco da parte del recente gruppo ransomware Sabbath (54bb47h). Ho pubblicato una prima analisi completa sull’incidente della ASL di Napoli, 3 giorni fa, per Cyber Security 360, che trovate qui. Questo post blog invece serve come tracciamento del gruppo Sabbath, iniziato appunto pochi mesi fa, e ne parlai proprio qui.

Da questa rivendicazione si apprendono diverse novità, rispetto al comunicato (generalista) dell’azienda sanitaria di questa settimana. La gang criminale si è dimostrata decisamente più precisa nella descrizione dell’accaduto, lasciando ampio spazio alla consolidazione di tutto ciò che fino a ieri erano solo ipotesi.

A parte mettere online pubblicamente disponibile un sample di informazioni rubate dalla ASL, che vedremo più in fondo, ha reso delle spiegazioni sull’accaduto. La parola magica è ancora una volta supply chain.

Perché cosa è successo?

Sembra che un fornitore di servizi IT, che ha una commessa di appalto pubblico da parte di Regione Campania, non avesse tutte le porte di casa propria ben chiuse e gli attaccanti sono riusciti a entrare all’interno della propria struttura, mietendo una vera strage informatica: 42 server sono stati crittografati (rendendoli inutilizzabili), al cui interno ospitavano 240 Virtual Machine, che eseguivano servizi per i clienti del fornitore (di cui ancora non è noto il nome), tra queste anche tutte quelle dedicate all’ASL di Napoli. E da qui partono i disservizi.

Servizi online non raggiungibili per giorni, file interminabili presso gli ambulatori che non riescono ad essere operativi, persone che attendono l’esito di un tampone che non arriverà costrette alla clausura in casa propria a tempo non definito. Caos nei processi vaccinali di sei distretti ASL di Napoli Sud, file che aumentano e risultati che non arrivano, costringendo l’amministrazione a rimandare tutti a casa e correre ai ripari.

Ora il danno è fatto, quei documenti rubati sono in giro, ce n’è già la dimostrazione (1,5 GB), per cui bisogna immediatamente pensare al futuro, perché non possa capitare più. Invece purtroppo non sarà così e continuerà a capitare perché come spesso accade, la filiera di forniture non viene rivisitata dopo un attacco, per cui la bonifica (mai completa) sarà insufficiente a evitare altre esposizioni sensibili del nostro sistema sanitario nazionale.

Che dati hanno rubato

L’archivio fa spavento. Ci sono elenchi anche di 112.000 righe con registrazione di visite mediche, ricette e dettagli collegati al cittadino (con codice fiscale in chiaro). Documenti interni come procedure operative per il personale. L’esempio che è stato pubblicato, presumibilmente trattandosi di una workstation specifica di un impiegato della struttura sanitaria, presenta anche documenti personali quali cedolini paga, modelli unici, tutti riferibili ad un’unica persona di cui è disponibile qualsiasi dettaglio (nome, cognome, residente e contatti dell’impiegato ASL), esattamente inquadrato come Assistente Amministrativo qualifica CALT CAMM.

Molti dettagli dell’attività lavorativa interna, tra cui archivi di PEC, progetti dell’azienda, badget annuali, riepiloghi di spesa per distretti. Sempre per il rispetto per la privacy dei colleghi, una bella raccolta di sanzioni amministrative e iscrizioni a ruolo interne all’ASL.

Concludo con qualche immagine esemplificativa di cosa si trova in rete al momento e lasciandovi con una bella riflessione: siete ancora sicuri che non bisogna ripensare all’educazione digitale e formazione informatica del personale, amministrativo e non?