Colpiti i sistemi informatici del network nazionale impegnato nella diagnostica medica, che si è dovuta confrontare con le interruzioni di alcuni suoi servizi (prelievi, visite, ritiro referti). Il gruppo sanitario, che ha comunicato di “informare opportunamente tutti i soggetti interessati in conformità alla legge”, sarebbe anche stato ricattato dai cybercriminali.
In una nota che ha pubblicato su proprio sito, Synlab Italia – società leader in Europa nella fornitura di servizi di diagnostica medica, che si rivolge a pazienti, medici, cliniche e industria farmaceutica –, “conferma l’impatto sui dati in seguito al cyberattacco del 18 aprile” (di cui è giunta la rivendicazione da parte del ransomware Black Basta, con ogni probabilità anche dietro l’attacco ad Acea nel febbraio scorso) e che “continua a lavorare a stretto contatto con le autorità competenti e le forze dell’ordine”.
Soprattutto, la società ha precisato che “l’organizzazione cybercriminale responsabile dell’attacco informatico sostiene di aver sottratto, facendone copia, una quantità significativa di dati, compresi quelli dei pazienti e dei clienti, con conseguente aumento del rischio della loro diffusione in futuro”. Synlab – si legge ancora – “informerà opportunamente tutti i soggetti interessati in conformità alla legge”. Da poche ore, però, tutti i servizi sono tornati alla piena operatività – come riporta il sito – ma il tema rimane urgente: la sanità è sotto scacco dei cybercriminali.
Imponente data breach
In principio non si avevano notizie riguardo i danni provocati da questo cyberattacco, ma le dimensioni del data breach sono apparse subito considerevoli, visto che nel nostro paese Synlab costituisce il più rilevante gruppo di diagnostica integrata. Numeri alla mano, poi, la società è presente in oltre 30 nazioni in 4 continenti, con oltre 500 laboratori e 28.000 dipendenti e può contare su circa 600 milioni di esami eseguiti ogni anno.
Adesso i ricercatori della piattaforma Ransomfeed.it rivelano che il collettivo di criminali Black Basta – ransomware as a Service (RaaS) emerso per la prima volta nell’aprile 2022, anche se probabilmente la fase di sviluppo era cominciata già e febbraio – ha rivendicato la responsabilità dell’attacco informatico contro Synlab, ammettendo di aver sottratto 1,5 terabyte di dati, compresi dati aziendali, documenti personali dei dipendenti, dati personali dei clienti e analisi mediche.
Dati sensibili a rischio di pubblicazione
C’è di più. Per dimostrare la violazione, infatti, gli attori di Black Basta – che ricorrono alla tecnica della doppia estorsione: congiuntamente a crittografare i file sui sistemi delle organizzazioni prese di mira e richiedere un riscatto per sbloccarli, hanno anche un sito di leak sul dark web – avrebbero pubblicato online immagini di carte d’identità, passaporti e analisi mediche. La data prevista per la pubblicazione dei contenuti dal gruppo Black Basta sarebbe fissata per il prossimo 11 maggio.
Tra le immagini ci sarebbe anche un elenco delle cartelle esfiltrate, alcune delle quali riporterebbero il nome di analisi cliniche, mentre altri indicherebbero anche centri situati in Campania (nonostante il cyberattacco abbia interessato punti di campionamento lungo tutta la penisola). Le stesse regioni che, nelle parole del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, Bruno Frattasi, “devono fare molto di più in investimenti per la cybersicurezza e questo lo sanno”.