Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco informatico all’Ospedale Luigi Sacco oppure un normale disservizio?

Chiara Nardini : 18 Maggio 2023 08:35

Stiamo assistendo in questi ultimi giorni ad una aumento degli attacchi informatici che stanno colpendo il sistema sanitario nazionale. Dopo l’incidente informatico che ha colpito la ASL1 Abruzzo, sembrerebbe che ci siano altre realtà ospedaliere che stanno avendo dei problemi con i sistemi informatici.

Nella giornata di ieri, è arrivata una segnalazione in redazione che l’Ospedale Sacco di Milano sembrerebbe avere problematiche visibili già dal pronto soccorso relative al loro sistema IT.

L’immagine fornita è di ieri sera, ma sembra che il blocco del pannello del pronto soccorso sia avvenuto in data mercoledì 10 maggio scorso, oppure per un problema del software il monitor riporta una data non in sincrono con la data attuale.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Dall’immagine fornita, analizzando meglio il messaggio di errore, sembrerebbe che il backend http://monitorps.hsacco.it non risponde e genera una eccezione, probabilmente per una mancata connessione.

Ricordiamo che l’ospedale Fatebenefratelli e Sacco, a maggio del 2022 (precisamente un anno fa), sono rimasti vittima di un attacco ransomware che ha bloccato le infrastrutture IT. Come riportato da RHC, le credenziali di accesso alla VPN dell’ospedale, erano state messe in vendita nelle underground 2 mesi prima dell’incidente.

Siamo andati ad analizzare il dominio in questione (hsacco.it) il quale è stato registrato a nome dell'”Ospedale Luigi Sacco – Az. Ospedaliera – Polo Universitario”, come da print screen di whois.com in calce.

Il dominio ha nel campo “Admin Contact”, il nome di Luigi Corradini, Direttore Generale dell’Azienda Ospedaliera Luigi Sacco di Milano.

Schermata prelevata da whois.com

La persona che ci ha contattato, ci ha anche detto che il medico del pronto soccorso ha dovuto scrivere il referto a mano e che sulla sua PDL compariva un messaggio da parte dell’antivirus che riportava il messaggio “ramsonware trojan hx”.

La fonte ci ha comunicato che i medici si sono dimostrati estremamente cordiali e solerti nonostante i problemi al sistema informatico. Pertanto, desideriamo ringraziarli per il loro impegno costante nei confronti dei pazienti, anche in situazioni di forte disagio come quella attuale (o in altre circostanze legate ad attacchi informatici).

Il medico ha detto alla persona che chi aveva fatto la mattina, aveva già problemi. Nel mentre il sito hsacco.it non risulta raggiungibile, come da analisi checkhost che riportiamo di seguito.

Edit del 18/05/2022 ore 22:06: Una mail anonima arrivata al whistleblower da una persona che lavora all’Ospedale Sacco, ha riportato quanto segue: “vi informo che non c’è mai stato nessun attacco informatico essendo l’Ospedale Sacco dotato di soluzioni di sicurezza allo stato dell’arte ma si tratta di un problema di networking, prolungato dal fatto che con le limitate risorse a disposizione dell’azienda è servito del tempo per recuperare i componenti necessari alla manutenzione. tutti i servizi ora sono ripartiti completamente e non c’è mai stato un problema di sicurezza, grazie per gli aggiornamenti che vorrete fare in merito”.

Pertanto con buona probabilità si è trattato di un disservizio e non di un attacco informatico.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Nel caso in cui l’azienda voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.