Sanità Lombardia, attacco informatico a ATS Insubria

GUIDO BERTOLASO ATTILIO FONTANA LETIZIA MORATTI

E’ un attacco ransomware quello rilevato il 5 maggio come l’ennesima intrusione nei sistemi sanitari lombardi. Disservizi per gli utenti di Varese e Como, rete spenta per precauzione

Nuovo attacco informatico rivolto alla sanità Lombarda, prende di mira l’ATS Insubria. Giorni difficili quelli che sta vivendo la sanità pubblica della Regione Lombardia, nell’ultima settimana.

Aggiornamento 24 maggio 2022: ransomware su ATS Insubria

Il gruppo criminale di ransomware BlackByte ha rivendicato l’attacco, pubblicando tanto di sample dei dati che sono stati rubati dalla struttura sanitaria lombarda. La minaccia è quella della pubblicazione completa fra 9 giorni, il 2 giugno 2022, che significherebbe un danno irreparabile per una grande quantità di pazienti e utenti della struttura. Attacco di tipo ransomware dunque, con il quale sono stati persi ingenti quantità di dati.

La rivendicazione di BlackByte

Sono infatti già in giro per il web dati estremamente personali, quali situazione sanitaria, disabilità, copie di documenti, coordinate IBAN di persone che hanno avuto contatti con l’ATS Insubria.

Sembra trattarsi di 940 MB (estratti) di materiale relativo a contratti, documenti, appalti, pazienti e disabili tra il 2010 e il 2016 dell’ATS. Ma è solo un sample, va detto che a questo, nei prossimi giorni è plausibile si aggiungano altri dati, potenzialmente anche più vasti e vicini nel tempo. Secondo le date sui metadati dei file esposti, l’attacco ha portato all’esfiltrazione illegale di materiale interno il 4 maggio 2022.

Avviso attuale sul sito ATS Insubria

Nel frattempo, dalla stampa si apprende che sulla vicenda indaga la Procura di Milano e la dirigenza della struttura sanitaria rilascia le prime dichiarazioni. “Non siamo stati contattati direttamente dai pirati informatici e siamo costantemente informati della situazione dagli inquirenti – fa sapere l’Ats Insubria al Corriere della Sera – Non pagheremo alcun riscatto“.

Fatebenefratelli poi ATS Insubria

E’ indisponibile almeno dalle ore 13.00 il sito web istituzionale dell’Azienda per la Tutela della Salute di Regione Lombardia che, fa sapere l’azienda, ha subito un attacco informatico. Il grande problema è che questo attacco arriva appena tre giorni dopo quello che ha visto andare in tilt un certo numero di ospedali e centri dislocati sul territorio, collegati con ASST Fatebenefratelli – Sacco di Milano.

I sistemi informatici di Ats Insubria sono in fase di verifica: il sito, al momento, non è raggiungibile. Stamattina i tecnici hanno rilevato un attacco hacker nei sistemi informatici, pertanto in via cautelativa e per sicurezza hanno isolato la struttura informatica aziendale dalle reti esterne, di conseguenza il sito e i portali pubblici di Ats Insubria non saranno raggiungibili fino al termine delle verifiche”, fa sapere l’ATS.

Tutto offline per indagare

Ennesimo caso di mala sicurezza delle infrastrutture tecnologiche strategiche del nostro paese, ma anche di mala configurazione della propria rete interna. Infatti i disservizi hanno impattato anche stavolta su tutto il complesso, che è stato messo offline per consentire le indagini forensi, al fine di calcolare e mitigare il danno derivante dall’attacco. Tutto questo poteva avere ben altri impatti se ci fosse una corretta segmentazione della rete, pratica consigliata ormai da decenni per una sensibile resilienza delle infrastrutture.

Come abbiamo visto, l’avviso pubblico arriva dai profili social dell’Azienda sanitaria, nei cui commenti non si sono lasciati attendere i commenti degli utenti, primi fruitori dei disservizi sanitari diramati.

In tarda serata, arriva un aggiornamento dall’ATS che fa sapere non si tratterebbe di un attacco informatico, ma di un guasto tecnico. Nonostante tutto, il sito istituzionale alle 23.00 risulta ancora indisponibile.

Relazioni con il passato in Regione Lombardia

Dando per buono che non si trattasse di attacco informatico, prima di trarre conclusioni è bene attendere alcune settimane per verificare eventuali rivendicazioni tipiche degli attacchi di tipo ransomware.

Qualora si verifichi invece l’ipotesi odierna dell’attacco informatico, lo scenario che si sta configurando in Italia, sarebbe preoccupante.

I fatti ci porterebbero dunque indietro di qualche mese, andando fino al 27 dicembre 2021, quando abbiamo appreso dell’attacco ad ASST Lecco, il cui fornitore è Aria SPA, nel quale andarono in tilt per ore gli ospedali Manzoni e Mandic. L’ombra ricompare il primo maggio 2022 con ASST Fatebenefratelli-Sacco con il blocco degli ospedali coinvolgendo anche la clinica Melloni e Buzzi, per un totale di 500 server compromessi. Oggi al 5 maggio 2022 è il turno dell’ATS Insubria.

Difficile non immaginare ad un movimento laterale partito presumibilmente da un fornitore principale compromesso, consentendo così la compromissione dei collegamenti ad esso periferici, uno per uno. Di fatto il fattore comune di questi attacchi, a parte il settore sanitario pubblico è Aria SPA.