Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online!

RHC Dark Lab : 23 Maggio 2025 17:10

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei pazienti. Nell’immagine potete vedere i medici mentre operano i loro pazienti. 😄 I giornalisti ci accuseranno di nuovo di cyberterrorismo?”

Questo è il messaggio, cinico e inquietante, pubblicato dagli hacktivisti del gruppo SECTOR16 dopo aver violato i sistemi di un ospedale italiano. Hanno preso il controllo dell’impianto di videosorveglianza. Hanno registrato e poi diffuso pubblicamente le immagini delle sale operatorie. Hanno sottratto dati sensibili dei pazienti. Hanno dimostrato – ancora una volta – quanto i nostri presidi sanitari siano esposti, vulnerabili, indifesi.

Ma se l’attacco fosse stato distruttivo?

Questa non è una simulazione. Non è un test. È un fatto gravissimo!

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Se l’attacco fosse stato distruttivo – come spesso accade con i ransomware – i sistemi dell’ospedale avrebbero potuto andare in blocco totale: reparti paralizzati, documentazione clinica inaccessibile, operazioni sospese, soccorsi ritardati. Quando si parla di ospedali, ogni secondo può fare la differenza tra la vita e la morte.

E invece, oggi, lasciamo che i cybercriminali si introducano nei nostri ospedali con la stessa facilità con cui entrano in un sito mal protetto. Ma è una cosa completamente diversa! Perché se si perdono dati personali è una cosa, qua si possono perdere vite umane!

Sono Cybercriminali? Si.
Ma noi siamo degli incapaci a gestire la cyber-sicurezza delle infrastrutture critiche!

Perché mancano risorse, competenze, operatività e attenzione.

Perché non c’è ancora una cultura della sicurezza digitale nel settore sanitario. E questo è inaccettabile. I dati sanitari sono il nuovo oro del dark web: completi, dettagliati, altamente sensibili. Ma non è solo la privacy a essere a rischio. Sono i pazienti. Sono i medici. È la sanità pubblica nel suo complesso.

Qual è l’ospedale vittima?

Il threat actor non ha fornito dettagli completi sulla struttura violata, ma dalle nostre analisi la situazione potrebbe apparire ancora più grave di quanto indicato nel titolo. Esaminando il video diffuso sul loro canale Telegram — anche con il supporto di una intelligenza artificiale — siamo riusciti a estrarre una serie di informazioni rilevanti:

Software in uso:

• Software in uso: VMS (Video Management System), client di sorveglianza video.
• Sistema operativo: Windows 7 in italiano – gravemente obsoleto e non più supportato.
• Data/ora del sistema: 23 maggio 2025, ore 00:34, coerente con l’orario di pubblicazione degli attacchi.
• Rete video suddivisa in gruppi: 16F8 e 18F sono identificativi dei DVR/NVR o dei rack.
• Ogni DVR ha associati canali: ad es. CH01 – CH08 per 16F8, CAM01 – D16 per 18F.

Analisi delle telecamere e layout

• Camere CH01, CH05, CH04 e CH03 mostrano chiaramente: Camici chirurgici verdi con bordature rosa o fucsia; Personale medico in attività operatorie o in terapia intensiva; Letti ospedalieri con dispositivi per infusione, pompe siringa e monitor multiparametrici; Ambienti pediatrici (letti con lenzuola infantili a cartoni animati, mobili bassi, colori vivaci).

Identificatori e indizi strutturali e Nomi camere e stanze:

• MR1, MR2 (Medical Room?), LR (Living Room?), IC1/IC2 (Intensive Care), ENTRANCE, KITCHEN, LC1/LC2 (Laboratory/Local Control?)
• Numero camere totale: almeno 24 camere elencate, 8 attive nel gruppo 16F8 e 16 nel 18F (alcune offline).
• Colori e disposizione: tipica di ospedali pediatrici moderni (Meyer, Gaslini, Bambino Gesù).

Personale e ambiente operativo Gli operatori indossano:

• Camici verdi chiari con copricapo rosa/fucsia.
• Alcuni hanno badge visibili (ma non leggibili).
• Una delle operatrici ha un distintivo rosso sul dorso, ma il testo non è leggibile.

Dettagli specifici di potenziale identificazione

• Letto pediatrico visibile in CH01: ha lenzuola con fantasia a cartoni (probabile ambiente pediatrico).
• Stanza CH05: mostra almeno tre operatori intorno a un paziente, molto simile a un reparto intensivo neonatale o pediatrico.
• Telecamera KITCHEN attiva: insolito in un ambiente clinico standard, comune però in reparti dove si preparano diete speciali per bambini.

Ovviamente si tratta solo di informazioni rilevate analizzando le immagini presenti nel video che devono essere prese solo come ipotesi rispetto a quanto riportato sul canale Telegram. Abbiamo provato a contattare il Threat Actors ma ci ha risposto che non si tratta di un ospedale pediatrico.

il messaggio di SECTOR16 dopo il nostro articolo

Abbiamo parlato con il threat actor, il quale ci ha riferito di aver rifiutato una offerta da parte di altri criminali che volevano acquistare i dati. Di seguito il post che successivamente hanno pubblicato sul loro canale Telegram.

📢 Vorremmo fare chiarezza sulla situazione relativa all'ultimo attacco informatico avvenuto in Italia . Non intendiamo vendere o divulgare dati online. Sebbene abbiamo già ricevuto diverse offerte. Questa azione è dettata dalla solidarietà. Riconosciamo il danno che possiamo causare e agiamo responsabilmente. Il nostro obiettivo è quello di richiamare l'attenzione su questioni importanti e di supportare chi ne ha bisogno.

🔖 Con l'hacking dimostriamo che le persone, in particolare gli amministratori di sistema, non sempre svolgono correttamente il proprio lavoro. Questi errori possono avere gravi conseguenze e il nostro obiettivo è quello di evidenziare la necessità di maggiore sicurezza e responsabilità. Ci impegniamo a migliorare la situazione nel settore e siamo certi che tali azioni POSSANO ESSERE DI AIUTO!

🔖 Si consiglia vivamente agli amministratori di sistema di proteggere i propri sistemi da utenti malintenzionati. Questo è il tuo lavoro e vieni pagato per farlo. È importante rimanere aggiornati, utilizzare password complesse ed eseguire controlli di sicurezza regolari. Un atteggiamento responsabile nei confronti delle questioni di sicurezza è la chiave per un lavoro di successo e per la protezione dei dati. Solo così è possibile ridurre al minimo i rischi e garantire una protezione affidabile dei sistemi informativi.

💬 CON RISPETTO, SETTORE 16/S16

Dobbiamo agire. Subito

Occorrono investimenti reali in sicurezza informatica per gli ospedali. Occorre formare il personale. Occorre dotarsi di sistemi di difesa adeguati. occorre eliminare l’obsolescenza tecnologica! Non è pensabile avere Windows 7 nelle infrastrutture critiche italiane! Perché proteggere le strutture sanitarie oggi non significa solo evitare una violazione: significa salvare vite umane.

E mentre gruppi come SECTOR16 ironizzano sulle immagini rubate da una sala operatoria, noi dovremmo smettere di minimizzare. Dovremmo smettere di far finta che “tanto queste cose succedono solo altrove”.

Succedono qui! E quando sarai tu ad andare all’ospedale e non potranno darti le cure dovute perché drasticamente sottodimensionati a causa di un attacco informatico, ti ricorderai di questo articolo.

È il momento di trattare la cybersicurezza come una questione di salute pubblica. Perché lo è.

E volete saperne una? Ecco la lista degli attacchi noti agli ospedali italiani perché quelli “non” noti non li conosciamo. Perché noi di Red Hot Cyber non dimentichiamo.

Gli attacchi noti agli ospedali italiani

Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali hanno un” postura cyber” da rivedere in modo profondo.

Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato. La Lista delle organizzazioni sanitare colpite, dove ne conosciamo le rivendicazioni della PA si allunga sempre di più giorno dopo giorno:

• L’ospedale San Giovanni Addolorata di Roma,
• ASL 3 di Roma
• ASL 2 di Savona
• ASL 2 di Terni
• ASP di Messina 2021
• ULSS6 di Padova
• ASL Napoli 3
• ASST Lecco
• ASP Messina 2022
• ATS Insubria
• Fatebenefratelli Sacco
• Ospedale Macedonio Melloni
• ASL5 di La Spezia
• Ospedale Universitario di Parma
• Ospedale Niguarda
• ASL1 Abruzzo
• Centro Ortopedico di Quadrante
• Azienda ospedaliera universitaria integrata di Verona
• Attacco alla Synlab
• ASST Rhodense
• ASP Basilicata

Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica a livello di sicurezza nazionale di queste infrastrutture. Tali infrastrutture vengono continuamente bersagliato dal cybercrime e che devono essere protette per garantire la salute delle persone.