Nei giorni scorsi abbiamo parlato del gravissimo attacco subito da SynLab, uno dei centri diagnostici più importanti in Italia, che ha coinvolto i dati di un numero spropositato di clienti o, per meglio dire, pazienti delle loro strutture. Qualche settimana dopo è iniziata a trapelare qualche importante novità sulla pesante offensiva, a partire dal responsabile ufficiale dell’attacco, ovvero BlackBasta, un collettivo hacker che negli ultimi anni ha colpito più volte diversi obiettivi, anche nel settore della sanità.
Il ransomware distribuito da BlackBasta per sferrare l’attacco era riuscito a colpire l’infrastruttura di SynLab, che per rispondere aveva di fatto sospeso i suoi sistemi dichiarando però anche di aver perso ben 1.5 TB di dati dei suoi clienti. Dopo pochi giorni, su un portale del dark web, sono apparsi i pacchetti di dati trafugati, messi in vendita al miglior offerente. Questa attività è stata notata anche dai tecnici della vittima che si sono messi a lavoro per capire esattamente di quali dati sono venuti in possesso gli hacker e riscontrando che tra essi c’erano, su tutti, documenti personali (carte d’identità, passaporti, ecc…) e risultati di esami medici.
Le implicazioni di tutto questo le avevamo già specificate nel primo articolo sul caso SynLab, mentre sempre nei giorni scorsi anche le autorità internazionali come CISA e FBI si sono occupate del gruppo BlackBasta, fornendo un’analisi dettagliata di come opera e diramando anche un’allerta dovuta all’efficacia dei loro attacchi. Come si è potuto notare dal report, questi criminali della rete sono riusciti a mandare a segno ben 500 attacchi ad altrettante vittime, colpendo in modo generalizzato un po’ tutti i settori compreso, come abbiamo visto, quello sanitario. I metodi utilizzati da questi hacker per fare breccia nei sistemi dei bersagli sono quelli più classici, ovvero campagne di phishing mirato e lo sfruttamento di vulnerabilità già note. Tutto questo poi, se va a segno, porta ad un movimento laterale, alla doppia estorsione mediante l’estrazione e la criptazione dei files.
La vittima, una volta colpita, inizia a vedere tutti i suoi file criptati con estensione .basta e riceve successivamente un messaggio con una semplice nota di riscatto in formato .txt. All’interno di quest’ultimo non vengono trovate né la cifra da corrispondere né il destinatario della stessa, ma la minaccia di pubblicazione dei dati se non ci si mette in contatto con gli hacker utilizzando un codice univoco fornito nel messaggio. Una caratteristica che contraddistingue BlackBasta è anche avere a sua disposizione il portale Basta News, visibile su TOR, nel quale vengono pubblicati i dati trafugati o perlomeno la prova provata del furto.
Come abbiamo visto, nulla contraddistingue BlackBasta in peggio rispetto a molti altri gruppi hacker raccontati in passato, ma il loro modus operandi può già far capire quali sono i modi per riuscire a mitigare i rischi. Innanzitutto, siccome si muovono tramite vulnerabilità già note dei sistemi delle vittime, è sempre importante tenere tutto aggiornato alle ultime versioni così come informarsi sulla disponibilità di patch e aggiornamenti vari con cadenza molto fitta. In secondo luogo è altresì importante utilizzare ed insegnare a tutto lo staff le tattiche migliori per proteggersi dal phishing, visto che ancora oggi il fattore umano è il più determinante quando si subisce un attacco come quello che ha colpito SynLab. Non è troppo tardi per comprendere che questa è la strategia migliore e per investire su soluzioni in grado di porre quantomeno un freno alla enorme quantità di rischi che si corrono quotidianamente, soprattutto quando si rischia di perdere dati personali e sensibili dei propri clienti, che poi ne chiederanno anche conto a livello economico.