Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco Hacker all'Azienda Ospedaliera Alessandria

Attacco informatico all’Azienda Ospedaliera di Alessandria. Ragnar Locker: “sostituire tutto il personale IT”

Redazione RHC : 28 Dicembre 2022 21:58

Avevamo riportato recentemente che gli attacchi agli ospedali, sono in incremento e che anche le polizze cyber stanno iniziando ad essere complicate da quantificare, quando si tratta di infrastrutture vitali per un paese dove a rischio sono le vite delle persone.

Ed infatti, questa volta ad essere colpito è l’ennesimo ospedale italiano.

Si tratta dell’Azienda Ospedaliera di Alessandria ad essere colpita dallla cyber gang Ragnar Locker. Ma a differenza di altri attacchi informatici, i criminali non hanno crittografato nulla, ma riportano una situazione catastrofica nella gestione delle infrastrutture IT dell’ospedale.

Attacco informatico all’azienda ospedaliera di Alessandria


Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.

Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Questa volta, almeno questi criminali informatici, hanno avuto (per quello che si può dire) una “particolare etica”, in quanto hanno sostenuto quanto segue:

“il nostro team non adotterà mai misure che possono mettere a rischio la vita o la salute delle persone. Il nostro obiettivo sono solo le aziende, che non si preoccupano della privacy dei dati personali che raccolgono e archiviano”

Ma come spesso abbiamo riportato su queste pagine, la situazione “opesdali”, è drammatica e occorre fare qualcosa, in quanto i primi incidenti che vedono delle vite umane perse per un attacco ransomware, iniziano a farsi vedere.

Le raccomandazioni di Ragnar Locker

Ragnar Locker, riporta inoltre che “qualsiasi raccomandazione sulla sicurezza sarà inutile in questo caso. Il nostro consiglio è di sostituire l’intero personale IT e sottoporlo a test di competenza e controllarli anche per lo spreco di budget.”

Inoltre sempre la Gang riporta che l’azienda non si è nemmeno accorta della violazione, sostenendo che: “Abbiamo chiesto informazioni sull’incidente ad alcuni dipendenti durante le telefonate, ma hanno risposto di non aver visto nessuna violazione informatica. Pertanto, è stato chiesto loro di rivedere le prove in Live Chat e abbiamo ripetutamente cercato di chiarire che centinaia di migliaia di dati personali sono stati compromessi a causa della loro negligenza.”

Il post sul DLS di Ragnar Locker

Di seguito riportiamo l’intero post pubblicato da Ragnar Locker, che risulta interessante leggere nella sua interezza, per comprendere lo stato della sicurezza informatica dei nostri ospedali italiani.

In questo caso particolare vorremmo dire alcune parole.

Prima di tutto, abbiamo utilizzato la politica di "crittografia zero file", quindi nulla è stato crittografato nella rete di "AOAL". Tuttavia, dovremmo dire che abbiamo ottenuto l'accesso completo, assolutamente ovunque, letteralmente a ogni macchina virtuale. 

Inoltre, nemmeno 130 amministratori di dominio sono stati in grado di impedire la fuga di circa 1 TB di dati. Se qualcun altro fosse in questa rete, ciò porterebbe a conseguenze disastrose, tutte le istituzioni mediche potrebbero essere paralizzate e ciò significherebbe il collasso totale.

Ma il nostro team non adotterà mai tali misure, che possono mettere a rischio la vita o la salute delle persone. Il nostro obiettivo sono solo le aziende, che non si preoccupano della privacy dei dati personali che raccolgono e archiviano.

Inoltre, dobbiamo dire che qualsiasi raccomandazione sulla sicurezza sarà inutile in questo caso. Il nostro consiglio è di sostituire l'intero personale IT e sottoporlo a test di competenza e controllarli anche per lo spreco di budget.

Anche dopo aver lasciato i file readme, siamo comunque stati in grado di vedere attraverso il desktop remoto, come gli amministratori leggono semplicemente le note che abbiamo lasciato senza intraprendere alcuna azione per proteggere il perimetro. Hanno solo cercato di coprire l'incidente ma il rimborso per negligenza dei dirigenti, come al solito, sarà pagato dai loro clienti invece che dai dipendenti incaricati.

Abbiamo anche chiesto informazioni sull'incidente ad alcuni dipendenti durante le telefonate, ma hanno risposto di non aver visto alcuna violazione. Pertanto, è stato chiesto loro di rivedere le prove in Live Chat e abbiamo ripetutamente cercato di chiarire che centinaia di migliaia di dati personali sono stati compromessi a causa della loro negligenza.

Puoi trovare nel link sottostante alcune prove: informazioni personali dei clienti, schede mediche, rapporti finanziari, rapporti dipartimentali e altro

L'intero volume di dati verrà pubblicato se la direzione di "AOAL" continuerà a ignorare questo problema e non si metterà in contatto con il nostro team.

Cosa è stato esfiltrato dalle infrastrutture IT dell’ospedale

La cyber gang riporta anche dei samples che possono essere visionati direttamente sul loro DLS nella rete onion. Si tratta du ben 37GB che sono stati esfiltrati dalla rete dell’azienda ospedaliera, anche se al momento ne sono stati resi scaricabili solo il 5%.

Si tratta di differenti informazioni personali dei clienti, schede mediche, rapporti finanziari, rapporti dipartimentali e molto altro ancora.

Indice dove viene riportata una cartella contenente il 5% dei dati pubblicati
Contenuto della cartella “clients” che riporta documenti di varia natura
Un samples che riporta le diagnosi mediche dei pazienti
Un samples riporta le spese dell’azienda sanitaria

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Nel caso in cui l’azienda ospedaliera voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo sulle nostre pagine per dare risalto alla questione.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Il ransomware Ragnar Locker

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

Scoperti inizialmente nell’aprile 2020, Ragnar Locker è una banda criminale che opera nella Ransomware as a Service (RaaS).

La cyber gang è stata sotto il radar dell’FBI da quando sono state violate 52 organizzazioni in 10 settori di infrastrutture critiche. I settori che Ragnar Locker ha violato includono energia, produzione, servizi finanziari, governi e tecnologia dell’informazione.

La gang è nota per cambiare costantemente le proprie tecniche di offuscamento per evitare il rilevamento e la prevenzione, oltre a scoraggiare le organizzazioni dal contattare le forze dell’ordine dopo una violazione.

La banda lavora con diverse varianti del ransomware e con diversi attori delle minacce.

Ragnar Locker è noto per l’utilizzo della tattica della doppia estorsione, che coinvolge gli attori delle minacce che esfiltrano dati sensibili, quindi attivano l’attacco di crittografia. Infine, minacciano di far trapelare i dati se il riscatto richiesto non viene pagato.

Secondo i ricercatori di Acronis, per eludere il rilevamento, Ragnar Locker distribuisce una macchina virtuale (VM) VirtualBox con un’immagine di Windows XP, per eseguire l’attacco di crittografia ransomware (una tecnica adottata dagli operatori di ransomware Maze).

Ragnar Locker avvia i propri attacchi compromettendo le reti delle aziende tramite il servizio RDP, utilizzando la forza bruta per indovinare le password o utilizzando credenziali rubate acquistate sul dark web.

Dopo aver compromesso la rete del bersaglio, l’autore della minaccia eleva i propri privilegi che consente agli aggressori di eseguire codice arbitrario. Per sfruttare la vulnerabilità, l’autore dell’attacco esegue un’applicazione appositamente predisposta.

Successivamente, carica una VM VirtualBox che mappa tutte le unità locali come leggibili/scrivibili nella macchina virtuale. Di conseguenza, il processo ransomware è in grado di essere eseguito all’interno della VM per crittografare i file. I file host riconoscono la crittografia come un processo VirtualBox attendibile, il che significa che molti prodotti di sicurezza ignorano le attività del ransomware.

Successivamente, Ragnar Locker elimina le copie shadow e disabilita le contromisure antivirus, quindi utilizza uno script PowerShell per passare da una rete aziendale a un’altra prima che il ransomware venga distribuito.

Ragnar Locker ruba i file e li carica sui server prima di pubblicarli, nel caso in cui la vittima si rifiuti di pagare il riscatto richiesto. Le tecniche di offuscamento proteggono il codice ransomware e tali tecniche includono l’aggiunta di codice spazzatura oltre alla crittografia. Le informazioni locali vengono controllate per evitare che i paesi della CSI vengano infettati.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

  • Formare il personale attraverso corsi di Awareness;
  • Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
  • Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
  • Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
  • Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
  • Evitare di abilitare le macro dagli allegati di posta elettronicaSe un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
  • Non seguire i collegamenti Web non richiesti nelle e-mail;
  • Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
  • Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
  • Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Multa di 2,95 miliardi di euro per Google per abuso di posizione dominante
Di Redazione RHC - 07/09/2025

La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...

I Padri Fondatori della Community Hacker
Di Massimiliano Brolli - 06/09/2025

La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...