Black Basta colpisce Synlab: analisi dell'attacco e lezioni di cybersecurity per il settore sanitario

Il gruppo di hacker noto come Black Basta ha messo in rete, attraverso il dark web, i dati sanitari rubati il 18 aprile dalla divisione italiana di Synlab, una delle maggiori compagnie sanitarie private in Europa. Synlab, con una presenza capillare di 380 laboratori distribuiti in otto regioni italiane, esegue annualmente circa 35 milioni di esami, tra cui prelievi del sangue e test prenatali. Dopo il furto, l'azienda ha dichiarato di non voler cedere al ricatto, causando la pubblicazione dei dati nel dark web. La gravità dell'attacco risiede nella vulnerabilità dimostrata anche da grandi strutture sanitarie e nelle concrete conseguenze per i pazienti, i cui referti e informazioni personali, quali diagnosi e terapie, sono ora accessibili a malintenzionati. Il totale dei dati pubblicati ammonta a 1,5 terabyte.

Tecniche di attacco e ransomware utilizzati

Il modus operandi di Black Basta include l'uso di ransomware per criptare i dati delle loro vittime, rendendoli inaccessibili fino al pagamento di un riscatto. Una delle principali tecniche di distribuzione di questo malware è il phishing, cioè l'invio di email ingannevoli che spingono i destinatari a cliccare su link maligni, avviando così l'installazione del ransomware. Non è stato ancora chiarito come Black Basta sia riuscito a introdurre il ransomware nei sistemi informatici di Synlab. Tuttavia, l'uso di questa metodologia denota un approccio strategico e ben orchestrato per colpire settori vulnerabili come quello sanitario.

Impatto sull'intero settore sanitario italiano

Secondo i dati di Clusit, associazione italiana per la sicurezza informatica, nel 2023 gli attacchi informatici in Italia sono aumentati del 65% rispetto all'anno precedente, con 310 incidenti registrati. Il settore sanitario è stato particolarmente bersagliato, a causa della rilevanza e sensibilità dei dati trattati. Strutture sanitarie come ospedali e laboratori diagnostici sono particolarmente vulnerabili poiché l'interruzione dei servizi può avere conseguenze gravi e immediate per la salute pubblica. La crescente frequenza e sofisticazione di questi attacchi rappresentano una sfida continua per la sicurezza cibernetica del settore sanitario.

Risposte e misure adottate da Synlab

In una comunicazione ufficiale diffusa il 13 maggio, Synlab ha riconosciuto la divulgazione dei dati personali rubati e ha dichiarato di voler informare tutte le persone coinvolte. L'azienda ha ribadito la decisione di non negoziare né pagare il riscatto richiesto dai cybercriminali. Secondo le normative italiane, le aziende devono notificare questi incidenti sia al Garante per la protezione dei dati personali sia, nel caso di infrastrutture critiche, all'Agenzia per la cybersicurezza nazionale. Synlab sta altresì avvertendo che chiunque faccia uso illegale dei dati divulgati potrebbe essere perseguito penalmente. Gli esperti di sicurezza consigliano ai pazienti che hanno utilizzato i servizi di Synlab negli ultimi anni di contattare l'azienda tramite posta certificata per verificare se i propri dati siano stati compromessi, in attesa di ulteriori comunicazioni da parte dell'azienda.