Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Talking Cricket Report 3: Le botnet degli ospedali italiani

Emanuele De Lucia : 12 Giugno 2022 18:59

Talking Cricket è una iniziativa di Red Hot Cyber nata per far conoscere l’importanza dell’intelligence delle minacce all’interno delle attività di sicurezza informatica e al tempo stesso “stimolare” la consapevolezza al rischio degli abusi cibernetici sulle risorse esposte su internet.

Autori:  Pietro DI MariaEmanuele de Lucia
Data Pubblicazione: 08/05/2022

Come abbiamo compreso nel primo report di Talking Cricket, “le botnet della pubblica amministrazione“ e poi nel secondo “le botnet delle regioni italiane” che vi invitiamo di leggere, le botnet sono un altro fattore di rischio da tenere sempre sotto controllo e da monitorare con costanza in quella disciplina che si chiama Cyber Threat Intelligence (CTI o TI), che consente di anticipare le mosse di un ipotetico aggressore.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Abbiamo anche recentemente fatto percepire i benefici di questa branca della cybersecurity con un caso pratico relativo all’incidente ransomware al Fatebenefratelli Sacco di Milano, riportando che già da 2 mesi eravamo al corrente come RHC della rivendita degli accessi alla VPN dell’ospedale.

Per i criminali informatici quello che viene messo a disposizione dalle botnet, sono informazioni preziose per poter avviare un attacco ad una infrastruttura IT e spesso parliamo di credenziali di accesso alla posta elettronica o alle VPN, le quali consentono di abbreviare drasticamente la catena di attacco.

In questo articolo, siamo andati ad analizzare le tracce lasciate nel cyberspace da alcune tra le botnet più conosciute di sempre e siamo andati a cercare le informazioni presenti nel web e nelle underground relativamente ad una serie di ospedali italiani.

Le botnet degli ospedali italiani

In questa sezione andremo ad analizzare le tracce rilevate attraverso tecniche OSINT/CLOSINT relative alle botnet presenti sui device degli utenti che hanno una connessione con i sistemi delle varie regioni italiane. Si precisa che si tratta solo di esempi in quanto per una corretta analisi occorrerebbe molto più tempo di quello che abbiamo messo a disposizione per la stesura di questo articolo, con lo scopo di riportare all’attenzione l’esistenza di questa “branca” della threat intelligence spesso dimenticata.

Nome OspedaleHomepageBotNet feedsBotNet in vendita
Grande Ospedale Metropolitano Niguarda (Milano)ospedaleniguarda.it1104
Policlinico Universitario A. Gemelli (Roma)policlinicogemelli.it14618
Policlinico Sant’Orsola-Malpighi (Bologna)aosp.bo.it4614
Istituto Clinico Humanitas (Milano)humanitas.it80820
Ospedale San Raffaele – Gruppo San Donato (Milano)hsr.it31455
Azienda Ospedaliera di Padova (Padova)aopd.veneto.it183
Ospedale Papa Giovanni XXIII (Bergamo)asst-pg23.it383
Ospedale Borgo Trento (Verona)aovr.veneto.it9231
IRCCS Arcispedale Santa Maria Nuova (Reggio Emilia)ausl.re.it687
Presidio Ospedaliero Spedali Civili di Brescia (Brescia)asst-spedalicivili.it699
Presidio Ospedaliero Molinette – A.O.U. Città della Salute e della Scienza (Torino)cittadellasalute.to.it1019
Ospedale Luigi Sacco (Milano)asst-fbf-sacco.it596
Ospedale di Parma (Parma)ao.pr.it364
Presidio Ospedaliero Santa Chiara (Trento)apss.tn.it21615
Azienda Ospedaliero Universitaria Careggi (Firenze)aou-careggi.toscana.it9717
Ospedale Maggiore Policlinico – Clinica Mangiagalli (Milano)policlinico.mi.it681
Policlinico di Modena (Modena)aou.mo.it323
Ospedale Sacro Cuore Don Calabria (Negrar)sacrocuore.it7538
Ospedale Civile di Baggiovaraaou.mo.it323
Azienda Ospedaliero Universitaria Pisanaao-pisa.toscana.it6511
Policlinico Umberto Ipoliclinicoumberto1.it365

I dati analizzati, sono recenti presi in un arco temporale massimo di 3 mesi.

Come avevamo riportato in precedenza, per “BotNet feeds”, si intendono tutti i file contenuti all’interno dei bot che riguardano il dominio corrispondente. Tali dati sono riferiti sia ad utenti interni o esterni. Per Esterni si intendono gli utenti che hanno account su servizi del dominio principale. Ad esempio, nel caso di una regione potrebbe essere un cittadino (non un dipendente) che ha un account, ad esempio, sul sito di prenotazione dei vaccini per il COVID.

Per “BotNet in vendita”, invece, si intende la rivendita delle informazioni contenute nel Bot, su siti specializzati come ad esempio Genesis, citato in precedenza.

Ospedali della Toscana

Accesso al portale della Aouc
Alcuni file contenuti nella botnet

Ospedali del Trentino

Accesso ad un servizio di autenticazione
Alcuni file contenuti nella botnet

Ospedali della Lombardia

Accesso alla posta elettronica dell’ospedale Sacco
Accesso alla posta elettronica dell’ospedale Policlinico
Accesso con cookie (disponibile nella botnet) ad un sito del San Raffaele
Alcuni file contenuti nella botnet

Ospedali di Torino

Accesso alla posta elettronica
Alcuni file contenuti nella botnet

Ospedali del Lazio

Accesso alla posta elettronica
Alcuni file contenuti nella botnet
Password di una casella di posta del policlinico gemelli di Roma

Mitigazione del rischio

In seguito all’osservazione delle diverse minacce che colpiscono le regioni, troverete in quest’ultima parte delle raccomandazioni per rafforzare la sicurezza dei vostri servizi e per limitare le diverse minacce che colpiscono la vostra vita quotidiana. 


Identificatori aziendali di compromissione

Le credenziali compromesse sono solitamente utilizzate per condurre campagne di ingegneria sociale. L’obiettivo principale è quello di recuperare o ottenere informazioni dai dipendenti. 

Per esempio, ci sono attacchi di “phishing mirato” o “spear phishing” che permettono agli aggressori di sfruttare la mancata consapevolezza al rischio manipolando i dipendenti se non ne sono stati formati a questo. 

Per combattere efficacemente il furto d’identità, limitare le vendite nei negozi criminali e rallentare l’uso malevolo, è consigliabile lavorare sul monitoraggio costante delle attività fraudolente a tutti i livelli aziendali.

Raccomandazioni

Di seguito le principali raccomandazioni che possiamo fornire per mitigare il problema delle botnet.

  • Segmentare la rete evitando ambienti promiscui (come quello casalingo);
  • È consigliabile adottare sistemi in grado di isolare il/i dispositivo/i in uso mediante segmentazione della rete locale e di adottare un approccio c.d. Zero Trust;
  • Sensibilizzazione alle buone pratiche nell’uso degli indirizzi e-mail aziendali;
  • Consapevolezza del phishing;
  • Evitare l’utilizzo di una password unica per ogni servizio;
  • Educare i dipendenti agli aggiornamenti di sicurezza e alle misure di sicurezza per limitare la superficie di attacco;
  • Chiedere ai vostri dipendenti interessati di reimpostare le loro password qualora siano coinvolti in data breaches;
  • Chiedere ai vostri dipendenti interessati di formattare i dispositivi interessati dalle botnet;
  • Non permettere l’uso di account aziendali su dispositivi privati senza autorizzazione;
  • Implementare attività di intelligence sui dati sottratti agli utenti.

Ci sono anche altre azioni che possono essere implementate per limitare l’accesso malevolo e non autorizzato agli account aziendali: 

  • Obbligare l’autenticazione a più fattori. Questa è la misura migliore per fermare questo attacco oggi. Siamo consapevoli che questa misura richiede un dispiegamento su larga scala. Tuttavia, può diventare un’opzione attivata dall’utente nell’area clienti per superare questa difficoltà;
  • Implementazione di un processo di login a più fasi (ad es. Captcha);
  • Implementazione di Black List degli indirizzi IP usati negli attacchi massivi;
  • Proibire l’uso di un indirizzo email come login;

Troviamo che gli utenti siano l’obiettivo primario degli attori delle minacce perché sono sfruttabili e non sono molto informati sui problemi di sicurezza in generale. La consapevolezza degli utenti è uno dei pilastri della sicurezza. Red Hot Cyber ha sempre riportato che l’utente è l’elemento più debole della catena.

Le tecniche di ingegneria sociale sono onnipresenti e si rivolgono agli acquirenti. Sono dannosi e permettono l’appropriazione indebita di fondi e lo sfruttamento delle vittime impersonificandole. 

Per prevenire meglio i tentativi di truffa attraverso questo canale, si consiglia di rendere gli utenti consapevoli di tutte le potenziali minacce che possono incontrare quotidianamente e di organizzare promemoria regolari creando campagne di sensibilizzazione.

Disclaimer

La ricerca svolta da Red Hot Cyber si è basata su siti contenenti dati e numeriche e fonti OSINT e CLOSINT tramite sistemi di threat Intelligence e analisi manuali. La pubblicazione non rappresenta necessariamente lo stato dell’arte della minaccia, data la natura transitoria delle fonti, pertanto ci riserviamo la prerogativa di aggiornamento periodico qualora necessario.

Red Hot Cyber non è responsabile del contenuto delle fonti esterne citate all’interno di questo documento, compresi i siti web esterni a cui si fa riferimento in questa pubblicazione.

La presente pubblicazione ha uno scopo puramente informativo e didattico, e ha come focus far accrescere la consapevolezza al rischio da parte di tecnici e operatori specializzati e sarà accessibile gratuitamente senza alcuna forma di paywall. RHC non sarà responsabile se qualche persona agisca per suo conto utilizzando le informazioni contenute all’interno di questo report in modo improprio.

RHC fornirà agli enti pubblici, qualora siano interessati ad approfondire le minacce riportate all’interno del presente report, ulteriori dettagli per poter intraprendere un percorso di bonifica e di mitigazione del rischio informatico.

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Articoli in evidenza

Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...

“Abbiamo ricevuto il tuo CV. Scrivimi su WhatsApp”: Il nuovo ed irresistibile Job Offer Scam

Una telefonata da un numero italiano. Una voce registrata che informa circa la ricezione del curriculm vitae e invita a salvare il numero e scrivere su WhatsApp per parlare di un’offerta di lav...

Bias Cognitivi: Il bug più pericoloso non è nel Software, ma nella nostra Mente!

In un’era dominata dalla tecnologia, dove ogni click, ogni dato, ogni interazione digitale è un potenziale campo di battaglia, la cybersecurity è lo scudo digitale, la fortezza immate...

Il Giallo dell’attacco ad Oracle Cloud continua tra CVE, handle sull’Internet Archive e Meme

La scorsa settimana, un threat actors di nome ‘rose87168’ ha affermato di aver violato i server Oracle Cloud e di aver iniziato a vendere i presunti dati di autenticazione e le password ...