Threat Discovery è uno spazio editoriale di Telsy e TS-WAY dedicato all’approfondimento in ambito cyber threat intelligence a livello globale. Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti di TS-WAY per la piattaforma TS-Intelligence.

In un recente advisory sull’operatore ransomware Black Basta Team, le autorità americane hanno messo in guardia in particolare il settore sanitario.

L’FBI, l’agenzia CISA, il Department of Health and Human Services (HHS) e il Multi-State Information Sharing and Analysis Center (MS-ISAC) hanno sottolineato che le organizzazioni sanitarie sono obiettivi di interesse per i criminali informatici a causa delle loro dimensioni, della dipendenza tecnologica, dell’accesso alle informazioni sanitarie personali e degli impatti unici derivanti dalle interruzioni dell’assistenza ai pazienti.

La doppia estorsione subita da Change Healthcare

Nel 2024 sono stati rivendicati, nel mondo, oltre 100 attacchi ransomware contro questo comparto. Uno dei casi più eclatanti ha coinvolto Change Healthcare, divisione di UnitedHealth Group, leader nel campo della tecnologia sanitaria.

A febbraio, la compagnia ha confermato di essere stata colpita da un attacco ransomware, rivendicato poi dall’avversario ALPHV Team, noto anche come BlackCat. La violazione avrebbe portato all’esfiltrazione di informazioni relative a milioni di persone e avrebbe avuto ricadute anche sull’operatività di numerosi ospedali, operatori sanitari e farmacie.

Secondo alcune fonti, a marzo sarebbe stato pagato un riscatto di 22 milioni di dollari che, tuttavia, non ha scongiurato il rischio di divulgazione dei dati sottratti. Ad aggravare il quadro, infatti, a metà aprile un altro avversario è tornato a ricattare Change Healthcare. RansomHub avrebbe pubblicato sul proprio sito dei leak un annuncio di vendita di informazioni appartenenti alla compagnia. Come prova dell’autenticità del materiale, il gruppo criminale avrebbe rilasciato alcuni file di fatturazione, cartelle cliniche e informazioni mediche riferibili ai pazienti, ma anche contratti e accordi stipulati dalla compagnia coi propri partner.

Ritenendo poco plausibile una sequenza di due diverse violazioni in così poco tempo, alcuni analisti hanno avanzato l’ipotesi che Change Healthcare sia stata coinvolta in una disputa fra i componenti di ALPHV Team. Una parte di essi non avrebbe condiviso il bottino con tutti gli affiliati e ciò avrebbe indotto qualcuno di loro ad associarsi ad un altro gruppo ransomware, portandosi via le informazioni.

Alcune vittime italiane

In Italia, diversi incidenti hanno impattato soprattutto aziende sanitarie pubbliche, ma anche centri privati di diagnostica e produttori di strumentazioni e dispositivi medici.

L’avversario Qilin Team ha rivendicato compromissioni ad aziende private che forniscono strumentazioni e dispositivi medici di alta tecnologia. Inoltre, è stato colpito un network privato di centri diagnosti e poliambulatori dislocati su tutto il territorio nazionale.

L’attacco subito a gennaio dal Servizio Sanitario Regionale della Basilicata ha causato il blocco dell’accesso a internet e alla posta elettronica aziendale e la violazione di dati personali di utenti e dipendenti.

La compromissione si sarebbe diffusa tra gli Enti del Servizio Sanitario Regionale, le cui reti informatiche sono comunicanti per la gestione di alcuni applicativi, coinvolgendo le Aziende Sanitarie di Matera e Potenza, l’Azienda Ospedaliera Regionale San Carlo di Potenza, l’Istituto di Ricovero e Cura a Carattere Scientifico di Rionero in Vulture e la Regione Basilicata.

A febbraio, l’operatore ransomware Rhysida Team ha segnalato sul proprio sito dei leak di aver colpito ASP Basilicata, ASM Matera e IRCCS CROB (Istituto di Ricovero e Cura a Carattere Scientifico) e ha messo in vendita i dati rubati al prezzo di 15 BTC (circa 727.000 euro).

Le indagini hanno rivelato che i dati sottratti, sia di natura sanitaria che amministrativa, riguardano principalmente pazienti ed operatori. Tuttavia, grazie alle copie di backup che tutte le aziende e la Regione effettuano, non sono stati perduti dati personali, né sono stati modificati i documenti più importanti, come i fascicoli sanitari e le cartelle cliniche.

Telsy e TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.

TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.

L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

I servizi di TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.

TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.

L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

TS-Intelligence

TS-Intelligence è una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui servizi di TS-WAY.