Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco informativo all’Ospedale di Verona. Scopriamo cosa contengono i 612GB pubblicati da Rhysida

Chiara Nardini : 17 Novembre 2023 10:21

Come avevamo riportato qualche giorno fa, la cybergang Rhysida ha colpito un’altra organizzazione italiana e nello specifico l’Azienda Ospedaliera Universitaria Integrata di Verona.

La gang aveva messo in vendita i dati al miglior offerente all’interno del loro Data Leak Site (DLS) nella rete Onion per un prezzo pari a 10 bitcoin (circa 334.000 euro al cambio di oggi).

Oggi la gang pubblica la totalità dei dati sul loro sito, sinonimo che non è stato raggiunto un accordo o avviata una trattativa con l’Ospedale, e che nessuno ha acquistato tali dati per il prezzo riportato.

Cosa contengono i dati

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011 per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Come avevamo riportato qualche giorno fa, dai samples pubblicati nel sito di Rhysida, erano presenti degli esami di laboratorio di pazienti, Informazioni di malattie metaboliche dei pazienti e altri file XLS contenenti dati che al momento non riusciamo a comprendere.

La cosa che non ci tornava che nei samples (come normalmente viene fatto dalle cyber gang) è il fatto che non era stata data enfasi ad un enorme quantitativo di dati sensibili. Ad esempio 2 immagini di analisi cliniche erano riferite ad un solo paziente ed avevano date distanti dal 2023.

Rhysida questa notte pubblica 612GB complessivi pari a 900.128 file esfiltrati dalle infrastrutture IT dell’azienda sanitaria. Accedendo al directory listing (l’alberatura dei file presenti sul loro sito), la quantità di informazioni è veramente ingente e scaricarli tutti sarebbe una impresa difficile, pertanto abbiamo proceduto scaricando il file “ALL_FILES” che di fatto è un tree-view dei file esfiltrati per indirizzarci nelle analisi.

Ricordiamo a tutti che l’accesso alla rete onion è praticabile da chiunque, anche se non dotato di particolari competenze in materia. Ciò significa che tali dati sono accessibili da qualsiasi persona che sappia normalmente utilizzare un PC e sono dati ritenuti di dominio pubblico (fonti di open source intelligence OSINT).

Una parte delle directory contenute nella prima pubblicazione “Documents (Part 1)” all’interno del DLS di Rhysida.
Una parte delle directory contenute nella prima pubblicazione “Documents (Part 2)” all’interno del DLS di Rhysida. Qua si può vedere il file “ALL_FILES” in formato testo che contiene tutti i dati prelevati dalla cybergang.

Occorre dire che la nostra analisi è stata svolta in poco tempo, pertanto potrebbero venire fuori ulteriori informazioni inerenti i dati esfiltrati che non abbiamo potuto percepire attraverso una analisi superficiale.

Analisi Cliniche

Sono presenti diverse analisi cliniche che partono dal 2023 fino ad anni passati. Tali analisi risultano afferenti al laboratorio dell’azienda ospedaliera universitaria integrata di Verona ma anche da altri laboratori di analisi sia pubblici che privati.

Un documento che riporta la visita allergologica di un paziente datato 04/05/2023
Lista di documenti che riportano le visite allergologiche fatte dai pazienti tutte datate 2023.
Esempio di documento riportato nell’immagine precedente afferente ai Pick Test inalanti del 2023

Idoneità sul lavoro

Abbiamo rilevato moltissima documentazione afferente alle idoneità sul lavoro e sui rischi professionali datate 2023.

Documentazione aziendale

Vengono riportate diverse informative sul funzionamento interno dell’ospedale, come ad esempio attività di AUDIT interno (e relative raccomandazioni), contratti, bilanci, timbrature, analisi degli indicatori di performance, e rendicontazione varie e moltissime email scambiate all’interno e all’esterno dell’organizzazione.

Un rapporto relativo ad un AUDIT interno del 2020.

Analisi genetiche

Andando ad analizzare il file, abbiamo una serie di informazioni riguardanti analisi genetiche e Cariotipo, anche se sembra si tratti di template utilizzati dall’ospedale e non di referti clinici.

Sono altresì presenti analisi genetiche provenienti da altri laboratori, probabilmente forniti dai pazienti (come ad esempio della ULSS6), ma anche realizzati all’interno dell’Università di Verona, anche se non viene specificato il nome del paziente.

Referto genetico dell’Ospedale di Verona
Referto genetico proveniente dalla ULSS6 contenuto nelle informazioni sottratte dall’Ospedale di Verona.

Password

Abbiamo dato una occhiata anche alla gestione delle password. Se da un lato abbiamo trovando dei file PDF protetti da password, contenenti presumibilmente credenziali di accesso, da un altro abbiamo trovato utenze e password predicibili banali, alcune tra queste contenente le TOP10 password più conosciute come “12345678”.

Gli attacchi agli ospedali italiani

Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali hanno un” postura cyber” da rivedere in modo profondo.

Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato.

La Lista delle organizzazioni sanitare colpite, dove ne conosciamo le rivendicazioni della PA si allunga sempre di più giorno dopo giorno:

Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica a livello di sicurezza nazionale di queste infrastrutture. Tali infrastrutture vengono continuamente bersagliate dal cybercrime e devono essere protette per garantire la salute delle persone.

Conclusione

Dalle nostre analisi condotte sui dati esfiltrati dalle infrastrutture IT dell’azienda ospedaliera di Verona, sono presenti molti dati che devono essere analizzati per comprendere pienamente il reale impatto. Dalla analisi preliminari, abbiamo riscontrato che moltissimi dati contenuti sono afferenti a diversi anni fa.

Anche relativamente alle analisi cliniche condotte nei laboratori dell’azienda, molti di questi dati sono del 2023 ma molti altri sono provenienti da altri laboratori di altre aziende cliniche private e pubbliche e non sono strutturati all’interno delle directory ma frammentati. Probabilmente ad essere stata colpita è una parte dell’infrastruttura dedicata non principalmente alle analisi cliniche. Con buona probabilità, proprio questa carenza di dati sensibili all’interno del databreach non ha portato alla conclusione della vendita a 10 bitcoin prevista da Rhysida nei 6gg programmati.

In sintesi la violazione di Rhysida è di rilievo, tenendo anche conto la situazione in cui versano le infrastrutture IT delle organizzazioni sanitarie italiane. A nostro avviso tale incidente informatico non può essere paragonato a quanto successo alla ASL1 Abruzzo oppure alla ULSS6 di Padova, che di fatto – a nostro avviso – sono state le più gravi violazioni di sicurezza informatica subite dagli ospedali in Italia.

Sicuramente questo è un ulteriore tassello che si aggiunge agli incidenti informatici che colpiscono gli ospedali italiani e la PA che non deve essere preso sotto gamba, ma occorre rafforzare tali organizzazioni sia a livello di effort che a livello di capacità di gestire e proteggere le infrastrutture informatiche.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda che saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.