Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Attacco alla ASP Basilicata. Qualcuno ha acquistato i dati? No, sono stati pubblicati

Redazione RHC : 23 Febbraio 2024 17:29

L’epilogo di un attacco ransomware è spesso segnato dalla pubblicazione online dei dati rubati o dalle aste clandestine. Nel caso dell’Azienda Sanitaria Provinciale (ASP) della Basilicata, l’attacco è stato confermato dalla stessa ASP alla fine di gennaio, quando si sono verificate difficoltà nell’utilizzo del sistema sanitario.

All’epoca, l’identità della cyber gang responsabile era ancora avvolta nel mistero, ma poi abbiamo saputo che si trattava della famigerata banda Rhysida. Questo gruppo criminale informatico ha già colpito l’Azienda Ospedaliera di Verona, il Comune di Ferrara e l’Università di Salerno.

La malvagia procedura di Rhysida

La cybergang Rhysida segue un approccio metodico per massimizzare i profitti dai loro attacchi ransomware. Inizialmente, chiedono un riscatto all’organizzazione colpita per sbloccare le infrastrutture crittografate dal malware. Se il pagamento non viene effettuato, passano alla “doppia estorsione”, minacciando di pubblicare i dati rubati se il riscatto non viene versato.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Quando l’azienda rifiuta di pagare sia per la decrittazione dei dati che per evitare la minaccia di pubblicazione, Rhysida adotta una procedura innovativa.

Pubblicano un annuncio sul loro “data leak site” e avviano un conto alla rovescia, fissando un prezzo per i dati rubati. Questo prezzo consente a potenziali acquirenti di acquisire i dati senza che Ryshida li renda pubblici, evitando così la divulgazione delle informazioni sensibili dell’organizzazione.

Il messaggio “TEMPORARILY SUSPENDED” che genera speculazioni

Rhysida è una cyber gang nota per i suoi attacchi astuti e ben orchestrati. In questo caso specifico aveva fissato un termine stringente di 7gg per il pagamento di un riscatto di 15 Bitcoin per i dati sensibili rubati all’ASP Basilicata. Tuttavia, l’evolversi della situazione ha preso una svolta inaspettata quando è stato pubblicato un messaggio sul loro sito che recitava “TEMPORARILY SUSPENDED”.

Questo annuncio ha generato speculazioni e teorie su cosa possa significare per il destino dei dati. Alcuni esperti di sicurezza informatica ipotizzano che Rhysida potrebbe aver accettato un accordo di acquisto dei dati da parte di un’altra organizzazione criminale, aprendo la porta a scenari inquietanti.

Con soli 7 giorni a disposizione, si sono aperte opportunità per gli acquirenti di fare offerte su dati esclusivi, unici e potenzialmente sensibili. Rhysida ha dichiarato sul proprio sito: “Apri i tuoi portafogli e preparati ad acquistare dati esclusivi. Vendiamo solo ad una mano, nessuna rivendita, sarai l’unico proprietario!”

Ma poco dopo tale messaggio viene cambiato e la cybergang pubblica l’80% dei dati eliminando qualsiasi ipotesi di un successo di una asta online. Pertanto l’epilogo di questo incidente informatico segue lo standard. I dati sono scaricabili da chiunque all’interno della rete onion.

Si tratta di 944GB di dati pari a 236 705 Files i pubblico dominio. Al momento sembra che il sito non funzioni in quanto non è possibile accedere alla sezione dove vengono pubblicati i dati.

Chi può essere l’acquirente o essere interessato ai dati di un ospedale italiano?

La domanda è lecita, ma il cybercrime da profitto alle volte è anche al soldo di organizzazioni lecite che fanno incetta di dati di incidenti informatici o di aste di dati privati. Questi acquirenti, spesso operanti nel sottobosco dell’economia digitale, possono essere pronti ad accaparrarsi i tesori di informazioni sensibili trafugati da aziende sanitarie e possono acquistarli per:

  1. Ditte Farmaceutiche: Le prime sulla lista sono le aziende farmaceutiche, sempre alla ricerca di dati sanitari dettagliati per raffinare le proprie strategie di marketing e ricerca. Con accesso ai record clinici dei pazienti, queste aziende potrebbero analizzare le tendenze di prescrizione, le reazioni ai farmaci e altre informazioni vitali per lo sviluppo di nuovi prodotti o per la commercializzazione di quelli esistenti.
  2. Assicurazioni Sanitarie: Le compagnie di assicurazione sanitaria costituiscono un altro gruppo interessato. Possedere dati dettagliati sui pazienti potrebbe consentire loro di valutare i rischi in modo più accurato e determinare le tariffe in base alle condizioni mediche preesistenti e alle tendenze di salute. Inoltre, tali informazioni potrebbero essere utilizzate per identificare potenziali frodi o per ottimizzare le politiche di copertura.
  3. Aziende di Ricerca Medica: Le organizzazioni di ricerca medica sarebbero anche attratte dai dati dell’ospedale. Con accesso a una vasta gamma di informazioni cliniche, potrebbero condurre studi e analisi per comprendere meglio le malattie, i trattamenti e i risultati clinici. Questi dati potrebbero essere preziosi per lo sviluppo di nuove terapie, protocolli di cura e approcci di prevenzione.
  4. Criminali Informatici: Non da ultimo, ci sarebbero anche criminali informatici interessati all’acquisto dei dati rubati. Questi individui potrebbero utilizzare le informazioni per compiere frodi finanziarie, furto di identità o altri reati informatici. Inoltre, potrebbero sfruttare le vulnerabilità nelle politiche di sicurezza delle aziende per compiere ulteriori attacchi o estorcere ulteriori riscatti.

Purtroppo il mondo del crimine informatico ha solo un obiettivo, ottenere il massimo profitto. Ma in questo circus spesso anche aziende lecite possono approdare in quanto conoscere informazioni per il proprio business non è cosa da poco, ma una grande opportunità di crescita.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda colpita dai crinali informatici qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006