Attacco informatico all’Ospedale Luigi Sacco oppure un normale disservizio?

Stiamo assistendo in questi ultimi giorni ad una aumento degli attacchi informatici che stanno colpendo il sistema sanitario nazionale. Dopo l’incidente informatico che ha colpito la ASL1 Abruzzo, sembrerebbe che ci siano altre realtà ospedaliere che stanno avendo dei problemi con i sistemi informatici.

Nella giornata di ieri, è arrivata una segnalazione in redazione che l’Ospedale Sacco di Milano sembrerebbe avere problematiche visibili già dal pronto soccorso relative al loro sistema IT.

L’immagine fornita è di ieri sera, ma sembra che il blocco del pannello del pronto soccorso sia avvenuto in data mercoledì 10 maggio scorso, oppure per un problema del software il monitor riporta una data non in sincrono con la data attuale.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Dall’immagine fornita, analizzando meglio il messaggio di errore, sembrerebbe che il backend http://monitorps.hsacco.it non risponde e genera una eccezione, probabilmente per una mancata connessione.

Ricordiamo che l’ospedale Fatebenefratelli e Sacco, a maggio del 2022 (precisamente un anno fa), sono rimasti vittima di un attacco ransomware che ha bloccato le infrastrutture IT. Come riportato da RHC, le credenziali di accesso alla VPN dell’ospedale, erano state messe in vendita nelle underground 2 mesi prima dell’incidente.

Siamo andati ad analizzare il dominio in questione (hsacco.it) il quale è stato registrato a nome dell'”Ospedale Luigi Sacco – Az. Ospedaliera – Polo Universitario”, come da print screen di whois.com in calce.

Il dominio ha nel campo “Admin Contact”, il nome di Luigi Corradini, Direttore Generale dell’Azienda Ospedaliera Luigi Sacco di Milano.

La persona che ci ha contattato, ci ha anche detto che il medico del pronto soccorso ha dovuto scrivere il referto a mano e che sulla sua PDL compariva un messaggio da parte dell’antivirus che riportava il messaggio “ramsonware trojan hx”.

La fonte ci ha comunicato che i medici si sono dimostrati estremamente cordiali e solerti nonostante i problemi al sistema informatico. Pertanto, desideriamo ringraziarli per il loro impegno costante nei confronti dei pazienti, anche in situazioni di forte disagio come quella attuale (o in altre circostanze legate ad attacchi informatici).

Il medico ha detto alla persona che chi aveva fatto la mattina, aveva già problemi. Nel mentre il sito hsacco.it non risulta raggiungibile, come da analisi checkhost che riportiamo di seguito.

Edit del 18/05/2022 ore 22:06: Una mail anonima arrivata al whistleblower da una persona che lavora all’Ospedale Sacco, ha riportato quanto segue: “vi informo che non c’è mai stato nessun attacco informatico essendo l’Ospedale Sacco dotato di soluzioni di sicurezza allo stato dell’arte ma si tratta di un problema di networking, prolungato dal fatto che con le limitate risorse a disposizione dell’azienda è servito del tempo per recuperare i componenti necessari alla manutenzione. tutti i servizi ora sono ripartiti completamente e non c’è mai stato un problema di sicurezza, grazie per gli aggiornamenti che vorrete fare in merito”.

Pertanto con buona probabilità si è trattato di un disservizio e non di un attacco informatico.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Nel caso in cui l’azienda voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Chiara Nardini

Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Aree di competenza: Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione